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VPN, seguridad Pag 3! 


en redes inalámbricas 


Aprenda a configurar su red inalámbrica con 
una máxima seguridad usando la tecno lo gía 
VPN y de este modo evitar tener su red 


totalmente expuesta a intrusos. 
eS 
ELABC de las redes — Pag! 57 


inalámbricas y access points 


Poner nuestras computadoras en red puede 
resultar sumamente sencillo sin la necesidad 
de utilizar cables. El mundo wireless 


(inalámbrico) nos permite esto y ya está 
accesible aun predo muy conveniente. | 
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¿Q ue Servicios puedo 7 
desactivar en Windows? 
Conozca los servicios más comunes en 
Windows 2000. Luegodecidasino le conviene 
desactivar aquellos no usados de modo de no 
exponer su computa doraalos hackers. 


Mark Minasi es el autor de uno de los libros 
más vendidos sobre Windows 2000 Server. 
En sus newsletters ha expuesto el conos pto 
de split brains DNS, que resulta mu y útil al 
tratar de entender las funcionalidades de DNS 
en Internet y Active Directory. 


Seguridad 


Seguridad, seguridad 
y más seguridad e 6 


Conocer todo lo relativo a seguridad informática 
hace que el administrador de redes tenga en sus 


«E A 


manos la herramienta más poderosa para combatir E 


hackers y virus. En este artículo se detallan cursos 
y exámenes que ofrece Microsoft estableciendo un 
Framework de aprendizaje sobre seguridad 
informática. 


EL ABC de VPNs 


¿Cómo hago para acceder en forma remota a la 
red de mi empresa? ¿ Cómo conecto dos empresas 
o dos sucursales a través de Internet en forma 
segura? VPN (Virtual Private Network) es la 
solución. 


pa gli 


bajo Linux 


High Performance Computing (HPC), 
supercomputadoras, programación en paralelo. 
Todo esto realizado a un costo reducido 


utilizandolate a olo gía Beowulfb ajo Linux. 


VPN y Linux, 
bajando costos 


Free S/WAN nos ofreos un modo de realizar 
una interconexión entre redes a través de 
Inte met a un costo reducido. Se detalla cómo 
implementar una VPN bajo Linux. 


Open LDAP 


Contamos cómo fue implementado con gran éxito 
Open LDAP como el servicio principal de directorios 
para entornos heterogéneos en una gran empresa 
en Indiana en colaboración con la Universidad de 


Purdue. Ademas de la parte técnica es interesante 
destacar la interacción empresa-academia. 
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Usted tiene en sus manos Nex +f2. Una publicación 
que para nosotros tiene mucha importancia, puesto que la 
pregunta respecto de si un periódico de networking y 
programación de distribución gratuita tendría repercusión 
nos fue más que satisfactoriamente contestada. Sólo 
recibimos elogios por el primer número y solicitudes para la 
pronta publicación del siguiente. 


Tras semejante repercusión, con enorme 
entusiasmo, organizamos Nex +2, que contiene temas de 
Windows, Linux, seguridad, programación y certificaciones. 


Esta edición apunta básicamente a VPNs y redes 
wireless (inalámbricas). Hay dos artículos ABC en cada 
tópico que recomendamos como de primera lectura. Dos 


especialistas de nuestra comunidad: Ariel Mella (MCSE, 
LPIC-nivel 2), Doctor Reinaldo Pis Diez, Ingeniera Alejandra 
García y Germán Dóuek (MCSE, MCT)entreotros. 


Además de la sección técnica del artículo sobre 
“Open LDAP*, destacamos cómo fue implementado ese 
proyecto mediante la colaboración entre una empresa 
privada y la Universidad de Purdue en Estados Unidos. Algo 
muy similar ocurrió con la interacción del Cornell Theory 
Center y Microsoft en el desarrollo de un centro de High 
Performance Computing (HPC). 


Y como verán, también incluimos preguntas de las 
certificaciones Microsoft y LPI que han sido compaginadas 
por nuestros especialistas: José Gatti, Ing. Alejandra García 


Base de Datos 
A 


Microsoft SOL 2000 pag. 1u 


Unaintroducciónala basede datos 
de MS. Con especial énfasis enla capacitación 
ligadaa basededatos. 


Certificaciones 
pS 


Las 10 certificaciones pag. 15 | 
más buscadas del mercado. 


El estudio se basó en crecimiento, reputación y 
aceptación dela industria. A esto se le agregaron 
otros factores: utilidad, puede hacer una 
diferencia en la carrera?, cual brillara mas?. 


Eventos 


Nueva sección sobre eventos de IT próximos. 
Quienes desean aparecer en esta sección 


contactar eventosOnexweb.comar : 
bajo We K Cornell Theory Center P?9 15 cda 


Mcrosoft, Intel y Dell firmaron un acuerdo con la: 
Universidad de Comell de modo de desarrollar en: 
forma conjunta sduciones y servicios comerciales de : 
HPC destinados a la industria, gobierno y ámbitos de : 
investigación. Nuevamente aparece la relación: 
empresa-academia B 


notas -“VPN, la solución para seguridad en redes 
inalámbricas usando W2K* y “VPN y Linux: bajando costos 
con FreeS/WAN" - ejemplifican conceptos de VPNs bajo W2K 
y Linux, respectivamente. 


y Ariel Mella... un verdadero desafío parafuturos expertos. 
Retire su ejemplar INM 
en forma gratuita en Córdoba 657 
piso 12” Capital Federal 

o solicítelo telefónicamente para 
su empresa al (011) 43127694 
http: www.nexwe b.co m.ar 


Invitamos a quienes deseen participar con notas, 
paraello deben contactarse a: articulos(Wnexweb.com.ar 


Otros informes completan este número, con una PX 7) ->> 
singularidad, ya que algunos fueron escritos por ES IS —b Ao 
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¡WINDOWS 2000) 
la solución para seguridad en 


dE V P redes inalámbricas usando W2K 


Si en sus oficinas existe un AP (Access Point) wireless (inalámbrico), 
cualquiera con una laptop y el software apropiado puede asociarse a su red y 
así acceder a documentos confidenciales o mensajes de e-mail. Cualquiera 
puede sencillamente instalar un AP inalámbrico sin que usted 


(administrador) se entere, creando así un agujero en la seguridad de su red. A 
continuación veremos cómo podemos configurar APs usando las capacidades de 
seguridad que vienen del fabricante en conjunto con Microsoft Routing y Remote 
Access Service (RRAS). Así lograremos protegernos y disminuirlos riesgos. 


- Reco mendamos leer previamente el artículo de 
NEX “El ABC de redes inalá mbricas y Access 
Points (APs)* y “ElABC de VPN*-= 


he Q:: viene por defecto como 

[Y seguridad con la infraestructura 
inalámbrica? 
Existe mucha documentación en Internet 
acerca de cómo asegurar una red inalámbrica 
usando nada más que el equipo que su 
fabricante le provee. Los procedimientos para 
hacerlo varían de fabricante en fabricante. 
Mencionemos las dos técnicas más comunes: 
Wire Equivalent Privacy (WEP) y listas de 
Media Access Control (MAC). 


WEP (Wire Equivalent Privacy) 

La infraestructura de encriptación que viene 
por defecto para redes inalámbricas ya hace 
tiempo que ha sido quebrada. Así se use un 
WEP de 40 bits o uno de 128, un intruso puede 
decodificar el código de WEP que usa para su 
red. Esto es seguramente muy llamativo pero 
aún más es saber del gran número de redes 
inalámbricas que ni siquiera usan WEP. Si 
realiza el ejercicio de explorar redes inalámbri- 
Cas, encontrará muchos APs inalámbricos, y 
Casi ninguno de ellos usarán la encriptación. La 
mayoría de la gente se toma su tiempo para 
nombrar a sus redes inalámbricas, simplifican- 
do todavía más la tarea de determinar quien 
está corriendo una red abierta. Muy probable- 
mente usen el nombre que identifica a la 
empresa. Si no planea usar WEP, al menos 
debería evitar dar a su red un nombre 
descriptivo. 

Aunque WEP ha sido quebrado, puede 
utilizarlo como punto de partida de seguridad 
para desalentar a la gente a procurar entrara su 
red. Algunas revisiones más nuevas de equipos 
inalámbricos mejoran la seguridad de WEP, 
haciendo que su código de WEP sea mucho 
más difícil-sino imposible- de decodificar. 


Li le di % MAC 

Algunos APs inalámbricos le permiten 
construir una tabla de direcdones de MAC 
autorizadas. Esta dirección MAC es única de 
cada NIC (Network Interface Card) inalámbrica. 
Si un NIC inalámbrico no autorizado intenta 
asociarse con su AP inalámbrico, el AP lo 
rechaza. Este paso extra toma un poco de 
esfuerzo ya que necesita agregar manualmente 
cada tarjeta a la tabla de MAC's autorizados. 
Sin embargo, haciéndolo se le agrega una capa 
extra de seguridad a su implementación 
inalámbrica. 


La causa funda mental de las deficiencias de 
las redes inalámbricas está en las áreas de 
autenticación y encriptación. Los APs inalámbri- 
cos realizangeneralmente muy poco, o ninguna 
autenticadón del usuario. Si el usuario se 
enauentra dentro del alcance de su AP y usted 
no esta usando ningún tipo de seguridad, el o 
ella se conecta a su red. WEP proporciona 
alguna mejora pero no es la solución final. La 
pregunta es: ¿qué clase de tecnología de redes 
puede darle autenticación a los usuarios que 
vienen de un espacio poco confiable y encriptar 
sus comunicaciones para que nadie pueda 
interceptarlos? La respuesta es VPN.Una VPN 
resuelve las deficiencias corrientes de lasredes 
inalámbricas. Pero conectarse se vuelve un 
poco más complejo para sus usuarios. Si ya 
invirtió tiempo en construir una infraestructura de 
VPN para que sus usuarios móviles accedan a 


Preguntas 
para 


examen 
Microsoft 
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Figura 1 


Server 


Wireless AP 


la red de su organización a través de |Intemet 
instalar una VPN para autenticar usuarios 
wireless es relativamente fácil. 

Vamos a mirar una red corporativa fictida 
antes y después de usar un VPN para asegurar las 
conexiones inalámbricas. La figura 1 muestra un 
diagrama de red de una típica imple mentación 
inalámbrica, con el AP inalámbrico detrás del 
firewall de su corporación. En ésta config uración 
usted pudo haber gastado mudo dinero en 
equipos de firewall para mantener conexiones 
poco confiables fuera de la red, pero este tipo de 
implementación abre un gran agujero dentro del 
espacio confiable de la red. Es como poner 
candados en la puerta y dejarla ventana abierta. 

La figura 2 muestra una forma segura de 
implementar unAP inalámbrico: detrás un servidor 
VPN. Ese tipo de implementación provee alta 
seguridad para la implementación de sus redes 
inalámbricas sin sumare mayor dificultad a sus 
usuarios. Parauna protección extra, puede prob ar 
moviendo el servidor de VPN al frente de su 
firewall, pero como los APs son típicamente 
dependientes de la distibudcón física, esta 
posibilidad no funcionará paratodos. 

Si usted tiene más de un AP inalámbrico en su 
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Server 


Workstatio n Hub o Switch 


A 


VPN Server wireless AP 


organización, le recomiendo conectar a todos 
dentro de un mismo switch, y ahí conecte su 
servidor VPN. De este modo, sus usuarios de 
desktop, no necesitarán tener múltiples 
configuraciones dial-up. Ellos siempre estarán 
autenticando al mismo servidor VPN sin importar 
acual AP inalámbrico esténasodados. 


Usted esta analizando el esquema de 
administración de una WAN que consiste 
en cinco LAN. Cada LAN contiene PCs 
con W2000 y Windows NT 4.0. En cada 
LAN, un Windows 2000 Server esta 
configurado como servidor WINS en orden 
para proveer resolución de nombres 
Netbios a las direcciones IP para las PC 
con Windows NT 4.0. El cuadro de la 


izquierda representa el modelo de 
replicación WINS en la WAN. 


Firewall 


=] 


Firewall 


Vamos a hablar sobre el hardware que va a 
necesitar este proyecto. Primero, necesitará un 
servidor para actuar como su dispositivo de 
entrada VPN (Gateway VPN) y controlar quién 
entra asu redsegura. La máquina no necesita ser 
un servidor superpoderoso. 

Necesita instalar dos NICs (placas dered) en 
el gateway VPN, uno para su red poco segura y 
otra para la red interna segura. Si usted ha 
implementado una VPN para usuarios basada en 
Intemet, estará familiarizado con éste proceso. 
Enchufe el AP inalámbrico- y nada más- 
dire ta mente en la interface de la red insegura. 
Cualquiera que se asocie con su AP inalámbrico 
podrá rastrear sololainterfacede suservid or VPN 
inseguro y cualquier otro cliente asociado con el 
AP. El servidor VPN se vuelve el gatewa y para su 
red interna, deddiendo a quien pemite y a quien 
serechaza. 

Para comunicarse con la interface insegura 
de su servidor VPN, sus usuarios inalámbricos 
deben tener una dirección de IP insegura 
asignada. Si su APinalámbrico tiene capacidades 
de servidor DHCP, puede configurar el AP para 
repartir direcaones IP inseguras a todos los que 
se asocien (recomendado). Sisu AP inalámbrico 
no tiene capacidades de servidor DHCP, usted 
puede instalar el servicio DHCP en su servidor 
VPN y configurarlo para que reparta direcciones 
IP inseguras solo en la subred de la interface 
insegura. 


Figura 2 


Imber reel 


Por eje mplo, asumamos que la red insegura 
comprendeel rango de direcciones de IP obtenida 
de 192.168.0.0/24 (con una máscara de 
255.255.255.0) y ése AP inalámbrico repartirá 
una dirección de IP en éste rango a cualquier 
dispositivo que pida uno. También asuma que la 
interface de su servidor VPN inseguro tenga una 
direccióndelPde192.168.0.65 

Para su red interna, asuma que su 
organización ha usadoel rango de dirección IP de 
10.18.0.0/16 (con una máscara de 255.255.0.0). 
Para el segmento de red al que el servidor VPN 
está conectado, asuma que ladire oción del Pestá 
en el rango de 10.18.16.0/24 y que el servidor de 
VPN tendrá una dirección IP de 10.18.16.10 
asignada alainterface segura. 


Todos los Pull Partners mantienen 
conexiones persistentes sobre links de 
ancho de banda relativa mente buenos. La 
replicación Pull ha sido configurada para 


ocurrir entre el WINSO1 y WINSO2 cada 45 


minutos. La replicación Pull ha sido 


configurada para ocurrir entre el WINSO1 y 


WINSO03 y entre WINS01 y WINS04 cada 
30 minutos. La replicación Pull ha sido 
configurada para que ocurra entre 
WINS01 y WINSO5 cada hora. 


En este punto, si usted colocó el servidor 
VPN entre su AP inalámbrico y el resto de la red, 
un usuario inalámbrico puede asociarse con su 
AP inalámbrico-y eso estodo. El próximo paso es 
configurar el servidor VPN así puede autorizar 
apropiadamente a sus usuarios y permitir su 
accesodentro desu red interna. 

Paracomenzar a instalar las capacidades de 
VPN en el servidor, seleccione Start, Programs, 
Adminstrative Tools, Routing y Remote Access. 
Cuando el Microsoft Management Console 
(MMC) Routing y Remote Aocess aparezca 
parpadeando, haga clic (derecho) en el nombre 
del servidora laizquierda y selecioneConfigurey 
Enable Routing y Remote Access. Haciendo esto 


empezará el Routing y el Remote Access Server 
SetupWizard 


Microsoft ha simplificado la instalación del 
servidor VPN (comparado con lo que hay que 
hacer en el Windows NT 4.0), así que recorriendo 
las pantallas del wizard se hace sendillo. Veamos 
cada pantalla, empezando por la pantalla de 


Common _Configurations (oonfiguradones más 
comunes), como muestra la figura 3. 
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Figura 3 


Elija instalar un servidor VPN seleccionando 
Virtual Private Network (VPN) Server. Haga clic 
Next para proce der a la pantalla de Remote Client 
Protocols, como en la figura 4. Esta pantalla es un 
poco desconcertante, no tiene demasiado 
propósito. El wizard provee una lista de protocolos 
y le pide queasegure que todos los protocolos que 
necesita para soportar a sus clientes estén 
instalados enel servidor. Si usted seleciona NO, 1 
need to add protocols el wizard no le dejará 
reconfigurar su red de trabajo. Simplemente 
renuncia. 
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Figura 4 


Uste dtambié n puede deselecdonarproto co los en 
ésta pantalla; por ejemplo, para no permitir IPX 
sobre su VPN. Entonces, si usted tiene los 
protocolos correctos instalados en su sistema, 
selecdone Yes, all of the available protocols 
are on this list y luego haga clicen Next. 
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¿Cual es el tiempo de convergenda Pull 
para la WAN? 


A- 30 Minutos 

B- 45 Minutos 

C- 1 Hora 

D- 1 Hora y 30 Minutos 
E- 1 Hora y 45 Minutos 
F- 2 Horas y 15 Minutos 


E INDOWS 2000 


Lo más típico es implementar VPNs a través 
de Intemet que actúa como medio inseguro. Por 
lo tanto la próxima pantalla wizard, Intemet 
Connection, que se muestra en la figura 5, pide 
cuál NIC apunta a su conexión a /nte met. En este 
caso considere Internet como sinónimo de 
Wireless y seleccione la interface de red 
apropiada. En este ejemplo escogimos la 
interface con la dirección IP 192.168.0.65 que es 
la dirección que se definió para la conexión a la 
redwireless insegura. HagaclicenNext. 


tr AD O 


Figura 5 

Para dejar a sus usuarios de wireless comunicar- 
seen su red interna, necesita darles una dirección 
de IP dentro de su espacio intemo de la red. A 
algunos administradores les gusta usar su 
servidor DHCP primario para ésta tarea(con osin 
uso de relay-agents agentes relay de retransmi- 
sión) peroes preferiblete ner el servidor VPN para 
repartir direcciones. Al hacer esto ayuda a 
simplificar fallas. 
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Figura 6 


Si usted quiere su gateway VPN asigne 
direcdones de IP internas a sus usuarios 
inalámbricos, sele ocione From a Specified range 
of addresses en la pantalla IP Adress 
Assign ment, como muestra la figura 6, y haga clic 
en Next. Seleccionar ésta opción lo lleva a una 


La 


Si usted es un administrador experimentado seguramente 
será un entusiasta de la línea de comando. Quizás siempre 
buscando nuevas formas de hacer cosas desde la línea de 
comando. Casi indispensable si va a administrar máquinas 


remotamente usando SSH. 


Mire eniwinntihe Ipintemds.chm. Es un archivo de ayuda que 
cubre todas las herramientas que pueden usarse desde la línea 
de comando de Windows 2000, XP y .NET Server. Aquí 
mendonamos algunos comandos interesantes que vienen con 


XP: 


Photoshop 6 
e Mustrator 9 


línea de comando en 
Windows 2000, XP Y .NET Server 
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Figura 7 


pantalla wizard en la cual usted puede definir 
rangos dedirecdones que suservidor VPN puede 
repartir. Haga clic en New en la pantalla para 
acceder a una caja de diálogo en la cual pude 
agregar el rango de la direcaón de IP apropiada 
por usar, como en la figura 7. Haga clic en Next 
para ir al la última pantalla wizard, que pre gunta si 
se quiere Usarun servidor Remote Authentication 
(RADIUS) para autenticar.- 
Asumiendo que quiera utilizar suActive Directory 
(AD) o la base de datos de un dominio NT para 
autentificación, responda No, | don't want to set 
this serverupto do RADIUS now, y hagaclicen 
Next. Se ha finalizado lainstalaciónde suservidor 
VPN. 


Instalación de un cliente VPN 

Para probar la implementación de su nuevo 
servidor VPN, usted querrá instalar unworkstation 
inalámbrico o laptop y probar cada parte de su 
conexión: desde el AP inalámbrico al servidor 
VPN en el lado inseguro de la red y a su red 
interna. 

Si usted bootea su estación de prueba con el 
NIC inalámbrico, debería poder asociarse con el 
AP. Puede dhequear los drivers provistos por el 
fabricante de su equipamiento inalámbrico para 
ver con cuál AP se ha podido asodar. O, si está 
usando Windows XP, el propio sistema operativo 
debería decirle a cuál AP inalámbrico está 
conectado. Verifique que su workstation de 
prueba esté recibiendo una direcdón TCP/IP 
insegura del servicio DHCP en su AP (si la 
configuró para hacerlo) o de su servidor VPN (si 
instaló DHCP). 

Si su workstation de prueba ha obtenido una 
dirección de IP insegura, usted puede “pinguear” 
la interface insegura del servidor VPN usando el 
coman do Ping en el command prompt. Haciendo 
esto se verifica apropiadamente la conectividad 
de su workstation, del AP inalámbrico y de la 
interface insegura del servidor VPN. Si obtiene 
una respuesta exitosa del ping, todo trabaja 
debidamente hasta ahora. Si no obtiene una 
respuesta del ping, resuelva el problema antes de 
continuar. 

Ahoraes momento deesta blecerunaconexión 
VPN a su red intema. Desde el desktop del 


en “cualquier” 
derecho dehacereso). 


remotas. 


*Sc le permite controlar servicios, incluyendo la habilidad de 
desinstalar servidos enteramente desde Registry. 

*Task kill le permite interrumpir “cualquier” programa corriendo 
computadora (asumiendo que usted tenga el 


*Relog reformatea información Perfmon desde su formato de 
registrobinarioa CSV uotros formatos. 

*Eventquery, eventcreate y eventtriggers controlan y 
examinan registros de eventos para computadoras locales y 


*Getmac devuelvela dirección MAC de su placade red. 
*Dis kpartes el sucesor de FDISK, una herramienta particionado- 
radel disco extremadamente poderosa. 
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Figura 8 


Windows XP o 2000, seleccione Start, Settings, 
Network and Dial-up Conections, y haga doble 
clic en Add New Connection. Haciendo esto se 
lanza el Network Connection Wizard, el cual 
solicitará la informadón necesaria acerca de la 
conexión que quiere realizar. En la pantalla 
¡Network Conection Type, la figura 8, especifique 
una conexión VPN seleccionando Connect to a 
private network through the Internet. Haga clic 
en Next. 


Aletas 


establece el túnel VPN a su servidor VPN, el cual 
lo autentica a usted contra la base de datos AD o 
contra la cuenta local de base de datos. Luego 
que usted está apropiadamente autenticado, el 
servidor VPN le asigna asu workstation de prueba 
una dirección de IP y empieza a encaminar su 
tráfico a la red interna. Usted puede verificar este 
ruteo corriendo el Ipconfig en su workstation de 
prueba y chequeando la dirección de IP que le ha 
sido asignada. Usted debería ver una dirección 
segura y unainsegura. 

Ahora tiene una red inalámbrica protegida 
usandoVPN. 

Usted se preguntara qué le sucede a los 
usuarios de laptops que se mueven alrededor de 
la ofidina y van deuna APa otro. Porque cada AP 
le da un enlace específico de direociones 
inseguras, la dirección IP insegura de un usuario 
que cambia de APs, también cambia. RRAS 
procura instalar un túnel VPN seguro para la 
comunicación con el dispositivo del usuario que 
de re pente cambia sudirección IP. Sin embargoel 
túnel VPN se quebrará. De todas formas si usted 
selecdona la opción “Redial if line is dropped", 
cuando usted defina el perfil de la conexión de su 
cliente, puede estar seguro de que el Windows 
tratará de reestablecer la conexión cuando haya 
sidoperdida. 


Implementar una red de wireless 


sin tomar los recaudos de seguridad 
necesarios es como tirar cables de 


ethernet por la ventena de sus oficinas 
invitando a cualquiera a compartir su red 


La próxima pantalla del wizard le pide el 
nombre DNSo ladirección de IP del servidor VPN 
al que usted se quiere conectar. Probablemente 
usted notenga un DNS disponible paraun usuario 
inalámbrico quien no ha sido propiamente 
autenticadoto davía, así que usela dirección de IP 
de su interfaoe insegura del servidor PVN: 
192.168.0.65, enel ejemplo-y hagaclicen Next. 

Las últimas dos pantallas del wizard son 
simples, preguntando si quiere hacer disponible 
esta conexión solo para usted o para todos los 
usuarios. Responda la pregunta apropiadamente 
según susituación. 

Ahora, empieza la diversión. Empiece la 
conexión DUN y provea un nombre de usuario y 
passwords en el box de logon (su servidor VPN 
necesita verificar que su cuenta de usuario ha 
sido otorgada vía acceso dial-in) Su sistema 


está usando. 


Una red wireless requiere una cuidadosa 
implementación. Como son tan fáciles de instalar, 
es común simplemente enchufarla y listo. Sin 
embargonunca debe conectar un AP inalámbrico 
a su red y dejarla. Si hace eso, bien podría tirar 
unos cables Ethernet a la calle por la ventana de 
su oficina, porque usted está efectivamente 
abriendo su reda cualquiera dentrode30 m. desu 
oficinaque tengaun NIC inalámbrico. 

¿Usted puede descansar asumiendo que su 
información inalámbrica está segura dentro del 
tipo de implementación que describe este 
artículo? Algunas organizaciones extre mamente 
preocupadas en seguridad están usando VPN 
para asegurar sus comunicaciones inalámbricas. 
Sinembargoel riesgosiempreexiste. € 


*Openfiles le p emite averiguar quien tiene unarchivo dadoabierto. 
Entonoes, cuando usted recibe un mensaje diciendo que no puede 
suprimir ese archivo porque está en uso, puede averiguar quién lo 


*WMIC es unapoderosah erramienta con una interface algo extraña 


Hay muchísimos más de estos comandos. 


que le permite examinar y cambiar la información de Windows 
Management In strumentation ensucomputadora. 


Las líneas de 


comando valen la pena ser investigadas. Son a menudo la 


Cualquiera que alguna vez haya trabajado con el formato ARC 


del boot.ini,legustarábootctg. 
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herra mienta indispensable cuando se trata de arreglar un sistema 
que no respon de demasiado bien en el GUI, pero que por lo menos 
nos pemite abrir la ventana del co mman d prompt. 


WEB COMPUTACION 


€ Hardware 6 Insumos 


6 Softwure % Conectividad 
e Accesorios e Notebooks 
Integrador Oficial 

n* 00701172 


Talcahuano 990 (1013) Cap. Fed. 


Tel: 4811-3144 webcomOfibertel.com.ar 


€ Servicio Técnico 
€ Instalación de Redes 


e Asesoramiento 


COMPUTACION 


MS MINDOwWS 2000 


CTE 


El ABC de las redes inalámbricas 
yg Access Points (APS) 


Existen en la actualidad un número grande de productos fácilmente 
configurables y de bajo precio que nos permiten establecer una red 
“wireless (inalámbrica). Esta red puede estar compuesta por un 
conjunto de máquinas cada una con una NIC (Network Interface Card 


La flexbilidad, conveniencia y ahorro 

tientan a las compañías a hacer 
conexiones inalámbricas entre edificios o través 
de un campus. Estas wireless LAN (WLAN) están 
basadas ensu mayoríaen la tecnología802.11b. 

Vere mos someramente las nuevas tecnologías 
WLAN y como fundonan. Básicamente, la 
tecnología AP y el concepto de roaming y 
asociación . 

La típica infraestructura WLAN (ver Figura 1) 
consiste en múltiples APs conedados cada uno 
por cable a una LAN para formar un puente 
transparente para clientes inalámbricos. Los 
clientes inalámbricos son por ejemplo, computa- 
doras portátiles, desktops o PDAs que tienen 
tarjetas inalámbricas de acceso compatibles y 
utilizan un protocolo de radio a una dada 
frecuencia para comunicarse. Los APs general- 
mente proporcionan una manera transparente de 
conectar un dispositivo inalámbrico a una red 
cableada. Cuando un cliente inalámbrico se 
conecta y autentica (se asoda) a un AP, el cliente 
puede solicitar una dirección |P y acceder a los 
recursos de lared. 


Wired Server 


Wired Client 


Ethernet Lan 


LaTecnología 

La tecnología DSSS (Direct Sequence 
Spread Spectrum) desarrollada por las Fuerzas 
Armadas de USA es particularmente resistente a 
interferencia e interrupción. La mayoría de los AP 
802.11 b usa esta temología. Opera básicamente 
a2.4 Ghzen la banda de frecuenda llamada ISM 
(Industrial Scientific and Medical) 

Esta soporta canales desde 11 Mhza 22 Mhz 
(3 de ellos de 1,6 y 11 no se sobreponen). La 
tecnología 802.11b realiza la transferencia de 
datos en forma half duplex de 1Mbps, 2 Mbps, 5.5 
Mbps y 11 Mbps. 

Existe otra alternativa, la 802.11a que usa 
OFDM (Orthogonal Frequency Division 
Multiplexin g) que opera en la banda de frecuencia 
de 5 Ghz y soporta hasta 54 Mbps y 8 canales que 
no se superponen. 


802.11bes mas lenta que 802.11a pero es 
mas popular y sus costos mucho menores. 
Recordar que estos estándares NO son 
compatibles (Ver el recuadro sobre la nueva 
tecnología 802.11 g). 

Las figuras 1, 2 y 3 nos muestran las mas 
típicas arquitecturas wireless basadas en 
tecnología AP. En el caso de laFig. 1 cada AP nos 
conecta directamente alaLAN. Esto normalmente 
con cable categoría 5. Tener múltiples AP nos 
extiende la WLÁN y permite a usuarios móviles 
hacer “roaming” (deambular) en nuestras oficinas 
ocampus. 

La segun da posibilidad nosla ilustra la figura 
2. Algunos APs pueden actuar como “puente 
inalámbrico“ (wireless bridge) entre por ejemplo, 
dos edifidos cercanos. Aquí la temología de 
antenas se vuelve mas sofisticada (por ejemplo, 
aparecen antenas unidireccionales) de modo de 
extender las distancias y aprovehar las altas 
ganancias de recepción y emisión (Ver 
www.cortech.com.ar 

Aveces un AP se conecta a otro AP lo que 
permite extender el rango de áreacubierta. Un AP 


Figura 1 


AP2 
Wireless Client 


Wireless Client 


AP1 


2 


Wireless Client 


opera como repetidor. La Fig. 3 muestra esta 
tercera arquitectura. Debidoqueel AP deberecibir 
y retransmitir datos, la salida es reducida en un 
factor 2 por cadarepetidordelacadena. 

Como curlosidad comentamos que la /ETF 
(Intemet Engineering Task Force) trabaja en un 
“mobile! P Standard" (RFC 3344 ftp: //ftp. isi.edu.in- 
note s/ rfc334.4.txt). “Mobile IP*es una modificación 
de TCP/AIP que asigna al cliente wireless dos 
direcciones IP: una “home” y otra “care-of”. El 
sistema operativo y aplicadones se ligan a la 
“home” y este IP no se modifica. La IP “care-of” se 


Tarjeta de red) inalámbrica que se comunican entre sí en una 
configuración llamada “peer to peer“ o modo ad-hoc. O, la arquitectura 
mas frecuente hoy día (y la que describimos aquí): la tecnología de 


Access Point(AP). 


Wired Server 


Wired Client 


Lan 1 


asociacon la subred del AP al cual este clientese 
asocia. Y, puede cambiar dinámicamente 
dependiendo del AP quese conecte. 

Finalmente, describa mos los conceptos de 
“Roaming” y Asociación. Cuando uno inicia un 
cliente wireless, éste localiza y se “asoda” al 
mejor AP. Utilizando un protocolo de radio, 
distingue cual es el “mejor” AP. “Mejor” 
típicamente incluye calidad de la señal y carga en 
el AP (peron onecesaria mente cercan ía). 
Cuando el cliente hace “roaming” la calidad de 
señal entre el diente yel AP se deteriora, lo que 
causa que el cliente se disode. Roaming es la 
característica quele pe mite al ciente moversede 
AP en AP sin dejar caer su conexión de red. 
Quizás uno participe de una conferencia en la 
biblioteca de lae mpresa y luego con su laptop se 
dirija a su oficina. En este mo mento la calidad de 
la señal es posible que se degrade y el diente 
wireless se asocia aotroAP. > 


AP 1 In bridge mode 


is 
| Wireless Client e A 4 
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AP 1 In bridge mode 
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802.11g 
Nueva Tecnolo 


Para fines del 2003 estarán a la venta 
productos wireless (inalámbricos) que 
funcionarán bajo la noma /EEE 802.119. 
Este protocolo permitirá a la red 
comunicarsea 54 Mbps, un factor 5 respecto 
del más común usado hoy el 802.11b de 11 


Mbps. Lo muy interesante es que “g” será 
compatible 100% con la tecnología “b*. 


AP Repeater “Wired 
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Ethemet LAN 


HPC (High Performance Computing) bajo WAK. 


(Recomendamos leer el artículo 
complementario “HPC a un costo reducido: 
Cluster Beowulf bajo Linux”) 


Existen en la actualidad investigaciones 
científicas, aplicaciones, servicios y 
desarrollos industriales cuyos proyectos 
incluyen cálculos de alta complejidad. 
Estoexge grancapaddad computacional 
(velocidad de procesamiento, mucha 
memoria y fiabilidad). 

Estas máquinas se las denomina 
“supercomputers“o HPC. 

El mundo del HCP ha verificado un 
cambio muy grande. Se han reemplazado 
los mainframes por servidores trabajando 
en cluster (empresas como CRAY, IBM, 
son sólo ejemplos de quienes proveían 
esta infraestrudura). Esto ha permitido 
que centros de investigadón y empresas 


puedan tener sus propias 
“supercomputers” ya que adquieren 
progresivamente servidores a medida de 
sus necesidades. El sistema operativo 
W2K ha permitido a Microsoft participar 
en dar soluciones de HPC. 

La primera implementación en 
supercomputación sobre Microsoft 
Windows 2000 larealizó el Comell Theory 
Center. Se construyó el AC3 Velocity 
Cluster. Este es un cluster basado en el 
sistema operativo W2K, formado por 256 
procesadores de Intel distribuidos en 4 
servidores Power Edge de Dell. La 
conexión se realiza mediante 
adaptadores de host cLAN y switches de 
cluster. Es de destacar que la Universidad 
de Comell firmó un acuerdo con 
Microsoft, Intel y Dell de modo de 
desarrollar conjuntamente soluciones y 


Cornell Theory Center 


servicios comerciales de HPC destinados 
a la industria, gobierno y ámbitos de 
investigación. 

¿Quiénes necesitan tanto poder de 
cálculo? Estos abarcan complejos 
trabajos de física, investigación espacial, 
desarrollo de nuevos productos 
farmacéuticos, estudios de aerod iná mica 
en la industria aeronáutica, diseño de 
automóviles, simuladones deterremotos, 
predicaión meteorológica, astronomía, 
representaciones 3D o estudios de 
cambios climáticos. Tales proyectos no se 
podrían realizar sin la ayuda de tales 
cerebros informáticos. 


Para másinformadón: 

www.rese arch.microsoft.com 
www.tc.comell.ed u 

www.microsoft.co m/wind ows200 0/hpc/ 


La red de Windows 2000 de su 

Empresa esta configurada de la 

manera que lo muestra e gráfico. 

La conexión de Internet se paga 

de acuerdo al consumo de ancho 

de banda, es por eso que la 

dirección de la empresa quiere 

limitar el número de usuarios que 

acceden a Intemet. Sdo algunos 

Le. usuarios tienen permitido el 

acceso a Internet. Cuando esos usuarios con permiso para usar Intemet 
naveganen laspáginas Webdeben ingresar su nombrede usuario ycontaseña 


aun para navegar en las páginas Web de la Intranet de la Empresa.Otros 
Usuarios que no tienen permitido el acceso a Intemet pueden acceder dl 
Servidor de la Intranet de laEmpresa sin que se les pida lascredenciales. Usted 
quiere que las credenciales (nombre de usuario y contraseña) sean requeridas 
sólo para el acceso a Intemet perono para elaccesoa lalntranet. 

¿Qué debería hacer usted para cumplir con esta tarea? 


A- Configurar el Servidor Proxy para configurar el acceso al servidorWeb local para 
todos 

B- Coníigure los navegadores delos usuarios para hacerun puente parael proxy 
Server para las dire cciones locales. (bypass proxy s erver for local addresses ) 

C- Configure el Servidor Web local para permitir el acceso a Todos 

D- Dígale a los usuarios que tiene n permiso para nave gar en Internet que instalen 
otracopia de Internet Explorer, que usen una para navegar en Internet y otra para 
na vegar en la Intranet ta: B 
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CURSOS PARA PROFESIONALES DE 1 
Paso 41: 


Microsoft Security Clinic Clínica de 
Seguridad de Microsoft- ( Clinic 2800 ) 


Diseñado para quienes toman decisiones e 
Ingenieros IT, esta clínica de tres horas le 
demostrarácómo: 

*Identificar iesgos de seguridad 

*Asegurar el perímetrodelared 

*Planear unaestrategiade seguridad 

*Realizar un evaluación deriesgo 

*Asegurar servidores, workstations y 

servicios 

*Responder a unincidente deseguridad 
Pre-requisitos: Estar familiarizado con lo que 
ofrece Windows 2000 en seguridad, incluyendo 
plantillas de seguridad, política de grupo y 
administración de cuentas 


Paso $ 2: 


Fundamentals of Network Security- 
Fundamentos de Seguridad en la Red- 
(Course 2810) 


Diseñado para profesionales de IT que quieren 
perseguir un rol de espedalista en seguridad y 
credenciales asodadas, éste curso de 4 días le 
enseñará có mo: 


*Implementar un “base-line" de seguridad 
para su organización 
*Proteger información usando controles 
de autenticación y acceso 
*Aumentar el nivel de seguridad de 
accesos remotos para su organización 
*Asegurar servidores web, e-mail y 
mensajeros instantáneos de amenazas 
comunes 
*Implementar una estrate gia de 
recuperación ante un desastre de 
seguridad, y más 
Pre-requisitos: Un año de manejo de redes 
TCP/AP oconodmientoequivalente, y experiencia, 
y un año manejando Microsoft Windows 2000 
Servero conocimiento equivalente y habilidades. 


Paso H3: 


Aumente su Profesionalismo tomando 
estos Cursos Avanzados: 


Deploying and Managing Microsoft 
Internet Security and Acceleration 
Server 2000 Implementar y 
ControlarIsa Server Windows 2000 
(Course 2159) 


Diseñado para profesionales de IT, incluyendo 
administradores de web, redes y seguridad, este 
curso detres días le enseñará cómo: 

x Instalar y configurar el servidor |SAcomoun 
servidor cache y comoun firewall 
*Configurar el servidor ISA como un 
virtual private network (VPN) 
xSupemisar las actividades del servidor 


de ISA usando alertas, logging, reports y 

monitoreo 

xInstalar y configurar el servidor ISA 

paraunambienteempresarial, y más 

Curso 2152, Implementing 

Microsoft Windows 2000 Professional and 
Server, o conocimiento equivalente; o curso 
2153, Implementing a Microsoft Windows 2000 
Network Infraestructure . 


Designing Security for a Microsoft 
Networks - Diseñar la Seguridad para 
Redes Microsoft (Course 2830) 


Diseñado para IT Systems Engineers y 
especialistas en seguridad, este curso de3 días le 
enseñará cómo: 


x Analizar riesgos de seguridad y planear 
un marco de trabajo para la seguridad de 
redes 

Diseñar un procedimiento y políticas 
de respuesta a incidentes para manejar 
redes y seguridad 

*Diseñar seguridad para recursos físicos, 
computadoras, cuentas, autenticaciones, 
datos, transmisión de datos, y perímetros de 


red. 
Pre-requisitos: Una fuerte famiiaridad con 
Windows 2000, sus tecnologías base, tecnologías 
de redes y su implementación, y tecnología de 
servicios de directorio y su implementación. 


Designing a Secure Microsoft Windows 
2000 Network- Diseño de una 
Red Micosoft Segura Bajo 
Windows 2000 ( Course 2150) 


Diseñado para profesionales senior de soporte, 
arquitectos de redes, y consultores en seguridad, 
éste curso de cin oo días leenseñarácómo: 


*Diseñar una metodología estructurada 

paraasegurarredes en Windows 2000 

x Asegurar accesos a clientes que no son 

Microsoft dentro de una red basada en 

Windows 2000 

z Asegurar los recursos locales acoedidos 

por los usuarios remotos que utilizan 

tecnologías diakup o de virtual private 

network (VPN) 

*Proteger recursos de redes privadas de 

usuarios dered públicos 

*Autenticar usuarios confiables sobre unared 

pública, y más. 
Pre-requisitos: conocimiento de Windows 2000 
Directory Services y haber terminado el curso 
1560: Upgrading Support Skills from Microsoft 
Windows NT 4.0 to Misosoft Windows 2000; o 
curso 2154: Implementing and Administering 
Windows 2000 Directory Services; oconodmiento 
equivalente. 


Designing and Mananing a Public Key 
Infraistructure Diseñando y Manejado 
una Infraestructura de 


EGURIDAD, SEGURIDAD Y MÁS SEGURID 


== La herramienta más eps que tiene el administrador de redes contra hackers y virus es el “conocimiento”. ==, 
Microsoft ha desarrollado una serie de cursos y exámenes de certificación sobre seguridad. Hay básicamente dos [yu 
perfiles de cursos: para profesionales de redes (IT professionals) y para desarrolladores (quienes programan). En 
éste articulo detallamos varios pasos que se pueden tomar en ambos perfiles para obtener ese “conocimiento”. 


Llave Pública (Course 2821) 


Disponible en Julio de 2003, éste curso de 3 días, 
diseñado para IT Syste ms Engineers, le enseñará 
cómo: 


xDiseñar una jerarquía de autoridad de 
certificación (certification authority CA-) 
para satisfacer los requerimientos de su 
negocio 

x Instalar servicios de certificación para crear 
una jerarquía CA 

Configurar plantillas de certificados 
creando, publicando y actualizando plantillas 
de certificado 

“Realizar lainsaripción del certificado 
“Implementar Key Ardiival and Recovery 
(Archivo y Recuperación) en una 
infraestructura de llave pública (Public Key 
Infraestructura PKI-) en Windows. NET, y 
más. 

- isitos: Un fuerte conocimiento de las 
tecnologías base con Microsoft Windows Server 
2003, tecnología de redes y teología en 
servicios de directorio. 


Paso $ 4: 
Certifíquese 


z Curso 2810, le ayuda a prepararse 

para el examen SYO-101- CompTIA 
Security +. 

*Cursos 2150, 2821, y 2830 le ayudan a 
preparase para el examen 70-220- 
Designing Security for a Microsoft Windows 
2000Network. 

*Curso 2150 lo ayuda a preparase para el 
examen 70-214- Implementing and 
Administering Secutity in a Microsoft 
Windows 2000 Network. 

*Curso 2159 lo ayuda a prepararse para el 
examen 70-227- Installing Configuring and 
Administering Microsoft Intemet Security and 
Acceleration (ISA) Server 2000, Enterprise 
Edition. 


CURSOS PARA DESARROLLADORES 


Paso H1: 
Security Seminar for Developers 


Seminario de Seguridad para 
Desarrolladores (Seminario 2805) 


Diseñado para arquitectos de software, 
desarrolladores profesionales de Visual Basic 
Microsoft y desarrolladores profesionales C++, 
éste seminariode 1 díaleenseñarácómo: 


*Implementar modelo de amenaza para 
analizar las vulnerabilidades del software 
“Reconocer y evitar las amenazas de los 
buffer overruns, canonicalization, inyección 
SQL, scripting de cross-site o ataque de 
negación de servicio (DoS)-Denial Of 
Service 

“Ejecutar el código con mínimo privilegio y 
crearwebsites seguros 


AHORA POR $27,30* POR MES, PUEDE SUSCRIBIRSE AL MEJOR DIARIO DE NEGOCIOS 


Y ADEMÁS OBTENER UNA SUSCRIPCIÓN A 2 EJEMPLARES BIMESTRALES DE EESTIÓN, 
LA REGOPILACIÓN DE LAS MEJORES NOTAS DE MANAGEMENT. 


y 
¡a 


E 


*Implementar códigos de seguridad de 
accesoen el .NETFramework, y más 
Pre-requisitos: Experiencia en desarrollo con 
Visual Basic, C, C++ OJava. 
Pasott 2: 
Continue su Entrenamiento en Seguridad 
con éstos Cursos Avanzados 


Developing Secure Web Applications- 
Desarrollo de Aplicaciones 
De Web Seguras 


Diseñado para desarrolladores web y arquitectos 
de soluciones, éste curso hands-on de 3 días le 
enseñará cómo: 


“Realizar un análisis de amenaza de los 
activos accesibles porlaweb 
*Usar conocimientos de autenticación, 
Security Identifiers (Identificadores de 
Seguridad SIDs), Acoess Control List (Listas 
de control de accesos- ACLs), 
personificación, y el conoe pto decorrer conel 
mínimo privilegio para asegurar el acceso a 
sólo esos reaursos de sistemas que son 
necesarios para cumplir el procesamiento de 
requerimientos normales. 
*Proteger datos del sistema de archivos (file 
system) usando las características de 
Microsoft Windows 2000 
*Usar el modelo de seguridad de Microsoft 
SQL Server y Microsoft ADO.NET para 
proteger una aplicación web contra los 
ataques de inyeccióndeSQL Server, y más 
- , Estar familiarizado con la 
arquitectura n-+tier (n-capas), tener experien da en 
desarrollo o diseño de aplicaciones web 
distribuidas y usar Microsoft C +4 y/o Microsoft 
Visual Basic.NET, experiencia en escribir scripts 
para servidores y del lado del cliente- usando SQL 
Server 2000 y/o Microsoft ASP.NET. Estar 
familiarizado con SQL Server y Microsoft Internet 
Information Services (11S). 


Developing and Deploying Secure 
Microsoft.Net Framework A pplications- 
Desarrollo e Implementación de 
Aplicaciones Seguras en el Framework 
de Microsoft.N et 


Diseñado para desarrolladores de software 
profesionales, éste cursode3 días leenseñará: 


*Usar el MSIL Disassembler para ver 
metadata asse mbly y type 
*Usar reflection para, progra máticamente 
acceder a metad ata assembly y type 
*Usar el modelo de amenaza STRIDE para 
desarrollar una estrategia de mitigación de 
amenaza para unaaplicación 
“Encriptar y desencriptar datos usando 
encriptaciones simétricas y asimétricas 
*Usar pedidos de permiso para especificar y 
limitar aquellos permisos que son otorgados 
acódigo 
Pre-requisitos: Experiencia desarrollando 
aplicaciones usando .NET Framework, y 
experiencia en programación con Visual Basic. 
NET o Visual C+f. € 


SUSCRÍBASE Y DISFRUTE DE ESTOS BENEFICIOS. 
+ DESCUENTOS EN CAPACITACIÓN 


e INVITACIÓN SIN CARGO A EVENTOS Y EXPOSICIONES 
LES0 GRATUITO A CRONISTA .COM 


7 E WINDOWs'2000. 


cQué servicios puedo desactivar 
En Window==00Os y,XP:2 


Muchas de las aplicaciones funcionan 
bajo la filosofía “cliente-servid or“. Es 
decir, una computadora brinda un 
servicio (ofrece ese servicio) a cualquier 
cliente de la red. Los Servicios son 
programas que corren en una 
computadora bajo Linux / Unix /NT/2000 / 
XP / .NET así alguien se loguee o no. Su 
utilidad no se discute pero, cada servicio 
presenta una fuente potencial para 
hackers en busca de un agujero de 
seguridad para realizar un exploit en 
orden de tomar control de su sistema. 
Adicionalmente los Servicios consumen 
recursos RAM y CPU. Muchos expertos en 
seguridad recomiendan desactivar los 
servicios innecesarios. Pero, ¿qué 
servicios son innecesarios? Esa es una 
pregunta difícil de responder. Aquí hay 
algunas sugerencias. Nuestra propuesta 
tiene más el propósito de que conozca los 
servicios más comunes en Windows 
2000. 


SERVICIO DE SERVER Y/O 
COMPUTER BROWSER 


El Server service (Serviciode Servidor) habilita 
su computadora a compartir sus archivos con 
otras computadoras, para aduar como un 
“servidor' en el sentido de compartir archivos 
“cliente-servidor*. La otra parte de ésta 
transacción es la parte del cliente, que es otro 
servicio. Quizás, con un nombre que confun de: el 
servicio de“workstation” 

Claramente cualquier sistema que actuará 
como un servidor de archivos (file server) debe 
tener éste servicio habilitado. Pero la cosa para 
remarcar acerca de los sistemas operativos 
Microsoft es que todos se instalan con el servicio 
de Servidor habilitado, inclusive Windows XP, 
2000 Professional, Windows 98, y Windows ME. 
Así, si usted tiene 1000 workstations y 50 
servidores en su red, tiene entonoes un total de 
1.050servidores de archivos. 

Eso es malo porque quien gane acceso al 
Server serice en su computadora puede 
fácilmente tener acceso a cualquier archivo en su 
computadora. Y la mayoríadelas workstations no 
comparten archivos, así que para qué tener el 
servicio activo, si sólo consume energías del CPU 
y 0.5 mega de RAM? (A veces se necesita correr 
el servicio sí a sus administradores les gusta 
poder conectarse con las carpetas compartidas 
por default C$, D$, etc. Si éste es el caso, 
entonces supongo que debería dejarlo) 

Además, cada servidor perturba la red 
anunciando su presencia cada 12 minutos con 
una transmisión diciendo “¡hola, todavía sigo 
aquí...soy unservidor de nombre Pepe y no tengo 
nada que compartir, pero so y un servidor y quiero 
que todos sepan que todavía sigo aquí!". Estos 
“broadcast' enlentecen lared y las máquinas en la 
red, ya que todas tienen que parar y escuchar la 
transmisión para ver si hay algo importante en 
ella. Estos broadcasts van a la lista de browsedel 
servidor, que es como todas las computadoras 
aparecen en el Network Neighbomood / My 
Network Places. 

Aún si desea el Server service corriendo en 
todos sus sistemas, puede hacer que los sistemas 
dejen de hacer broadcast desadivando un 
servicio diferente- el Computer Browser service. 
Algunas personas se preocupan creyendo que 
deshabilitando este servicio se impedirá a 
computadoras de ser capaces de browse My 
Network Places, pero ése no es el caso en lo 
absoluto. Este servicio sólo anuncia la presencia 
de un servidor, apagándolo en su computadora le 
seguirá permitiendo abrir Nethood y ver otras 
computadoras en la red. (Dejando su Server 
service y deshabilitando Compute Browser, usted 
está entonces, esencialmente corriendo su 
servicio en “stealth mode”). 

Se tiende a dejar el Server service adivado 
por dos razones innecesarias: Web servers y 


Remote Assistance / NetMeeting. Usted no 
necesita tener el Server service corriendo en un 
servidor Web, y Remote Assistance y NetMeetin g 
pueden igual transferir archivos sin el Server 
sewvice. 


SERVICIO DE FAX (Fax Service) 


Viene manual y apagado por defecto, pero 
siempre se tiene que preguntar si alguien 
encontrará la forma de realizar un exploit...En 
general se tienen muy pooos sistemas conectados 
a módems compatibles con fax. Deshabilitar este 
servicio, entonces es lorecomendable. 


SERVICIO DE INDEXING 
(Indexing Service) 


Éste pareceadivarse cuandotieneunservidor 
Web. Es una manera de construir motores de 
búsqueda rápidos, poderosos para un servidor 
Web. Pero al menos que haya creado una página 
de busca en suWeb, deshabilítelo. También borre 
los dos indexs que vienen por defecto “System' y 
“Web* y encambio cree indexs asu medida. 


ALERTER Y MESSENGER 


Dos servicios que soportan mensajes pop-up 
en su desktop. Estos no son los pop-ups que 
puede tener en la Web. Desactivando estos 
servicios no sedesharáde los pop-ups dela Web, 
desafortunadamente. Ni es este Windows 
Messenger. El sistema usa este para enviar 
mensajes administrativos; por ejemplo, es posible 
tipear “net send * salir del sistema” y todos 
redbirán un pequeño mensaje pop-up diciendo 
“salir del sistema”. La idea es que los 
administradores pue dan usaresto como una dase 
de mensajero instantáneo primitivo para usuarios 
de la red de trabajo. 


SERVICIO DE IMAPI 
<D-Burning COM 
NuevoparaXP, ésteservicioasistea RoxioCD 
Creator de XP. Si lo desactiva, Roxio deja de 
funcionar. Si, por otro lado, usted usa un 
quemador de CD de otra marca, como Ahead 


Nero Buming ROM, entonces el servicio es 
innecesario y puede deshabilitarlo. 


SHELL HARDWARE DETECTION 


Esto es nuevo para XP. Cuando usted 
enchufa dertas clases de hardware, como 
cámaras, tarjetas o cosas parecidas, entonces XP 
responde abriendo una ventana y preguntándole 
qué le gustaría hacerdescargar imágenes, arear 
un slide show, etc. Eso está todo hecho con “shell 
hardware detedion”. Si ustedencuentrairritante la 
ventana “¿Qué debemos hacer con este nuevo 
hardware?" puede entonces desactivar éste 
servicio. 

SERVICIO STILL IMAGE 


Un servicio especializado en cámaras digitales. 


Si usted lo usa, genial. De lo contrario, 
desactívelo. 
SERVICIO VOLUME SHADOW 


(Sombra del Volumen) 


Esta eslaparte del diente de una herramienta 
muy útil que le pemite simple y automáticamente 
archivar archivos importantes varias veces al día, 
Desafortunadamente, la parte servidor recién 
aparece con Windows.NET 2003. Así que es 
seguro desactivar éste servido por ahora... pero 
no olvide activarlo nuevamente cuando llegue el 
.NET 


Informacióni¡Comercial 


Para publicar en este periódico u obtener 
información comercial comunicarse al: 


(011) 4312-7694 


publicidadOnexweb.com.ar 


CLIENTE WEB 


Si usted tiene páginas web almacenadas en 
servidores ajenos, necesita entonces alguna 
manera de conectarse a ésos servidores para 
cambiar los contenidos de su web. Por años FTP 
ha sido una manera popular pero es un poco 
limitado. Esto derivó en un sistema mejorado de 
compartir archivos en Intemet llamado Web 
Distributed Authoring and Versioning o (WebDAV 
protocol, mire RFCs 2518 y 3258 si necesita los 
detalles). Básica mente, aun que, es un sistema de 
archivos compartidos que corre sobre el puerto 
80, montado sobre http. Y es una idea genial, 
como pue de atestiguar cualquiera que alguna vez 
haya peleado conun cliente FTP. 

XP incluye la parte del lado del diente en un 
servicio llamado Web client (cliente Web). 2000, 
.NET y si mal no recuerdo, 11S 4.0 incluyen el lado 
del servidor en “Web folders” (carpetas web). 
Probablemente usted nisiquiera sabía que tenía 
un sistema de archivo compartido que no tiene 
nada que ver con SMB y que puede filtrarse por 
sus firewalls porq ue corre por el puerto 80!! 

Pero, usted necesitasaber cuán bien testeado 
se encuentran el Web Client y las Web Folders? 
Seguramente resultará un gran protocolo con los 
usuales agujeros de seguridad que alguien 
descubrirá y explotará algún día. Desactive el Web 
Client service y evite las Web folders en sus 
servidores Web. 


WINDOWS IMAGE ACQUISITION 


Soporta mayormente webcams. Si no está 
usando una, entonces puede deshabilitar éste 
servicio. 


SERVICIO WORLD WIDE WEB 
PUBLISHING, SMTP, FTP 


Por años, Microsoft ha instalado un servidor 
Web en cada oo pia de Server, a menos que en el 
momento de realizar la instalación Ud. haya 
pedido no instalarlo. Esa es la razón por la cual 
todavía hay sistemas tratando de infectar los 
servidores Web con Nimda. Hay gente queinstala 
2000 Server o NT Server para ser file server yni 
siquiera se dan cuenta que están creando un 
“webmaster accidental”, así que no saben que 
sus servidores Web (el mismo que ni siquiera 
saben que tienen) está infectado y trata de 
infectar a otros. 

Tómese un momento y veasi está corriendo FTP; 
SMTP, o IIS en un servidor en el que usted no 
quiere que corran. Usted incrementará la 
seguridad de su sistema y recuperará algo de 
CPU. 

Y SIUSTED TIENE UN XP... 

Quizás su computadora vino con una copia de 
XP y el vendedor agregó algunos servicios. 
¿Pueden estar haciendo su sistema más 
inestable omenos seguro? Hay unafomafádil de 
saber si usted necesita éstos servicios extra. 
Ejecute msconfig.exe y haga clic en la solapa 
“services”. Tiene un box de tilde “Hide Microsoft 
Services”, tíldelo y verá las cosa que el vendedor 
(y usted, dependiendo de que haya instalado) 
agregó. Puede entonces parar cualquiera de 
esos servicios oinclusive hacer clicen “disable all” 
(deshabilitartodo). Puede resetear su sistema, y 
bueno, vea siextraña alguno deellos. 

Sisevuelve de masiadoloco y se dacuenta que 
ha detenido un servicio que necesitaba para que 
su sistema fundone, usted puede siempre 
empezar con la Recovery Console y usar el 
comando enable para decirle a sus sistema que 


empieos nuevamente el servido. < 
eZ 
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Si desea obtener más informació n 
sobre NEX, busque en nuestro sitio 
web en donde podrás encontrar 
todas las notas en la versión digital 


www.nexweb.com.ar 


ETE 


COMPUTACION 


Hardware 
Software 
Accesorios 
Insumos 
Conectividad 
Notebooks 
Asesoramiento 


Servicio 
Técnico 


Instalación 
de Redes 


Talcahuano 990 
(1013) Cap. Federal 
Tel: 4811-3144 


webcomoOfibertel.com.ar 


Integrador Oficial 
n* 00701172 


COR |recrosioste! 


Carrera/MUSA 


Valor $ 1490 + IVA 
144 hs + Materiales Microsoft 


Carrera MOCSE 
Valor $ 2380 + IVA 


240 hs + Materiales Microsoft 


Carrera MESD 


Valor $ 2600 + IVA 
200 hs + Materiales Microsoft 


Av. Córdoba 657 Piso 12 

entre Florida y Maipú 

Tel: 4312-7694 

Email: masinfo(Acortech.com.ar 


SEGURIDAD 


¿QUÉ SIGNIFICA VPN? 


n “Virtual Private Network' (VPN) es un 

U network (red) de datos priva dos que utiliza 

la infraestructura de telecomunicaciones 

pública, manteniendo la privacidad a través de 

protocolos de túneles y procedimientos de 
seguridad. 

Una VPN puede ser contrarestada con un 
siste ma de líneas propietarias o bajo leasing, que 
sólo pueden ser usadas por una compañía. La 
VPN brinda a una empresa las mismas posibilida- 
des quelas líneas privadas bajoleasing aun costo 
muchísimo más bajo, utilizando la infraestructura 
públicacompartida (un ejemplo: Internet). 

Bajo las siglas VPN se reúne un conjunto de 
tecnologías y escenarios para satisfacer las 
necesidades delas empresas. 

Cuando se selecciona una implementación 
VPN se deben considerar: seguridad, interopera- 
bilidad, facilidadde uso y ad ministración. 

Existen soluciones VPN provistas por 
diferentes vendors pero también existen 


LOS 3 ESCENARIOS MÁS 
COMUNES DE VPNs 


VPNs yAcceso Remoto (remote Access 
Vpn) Figura 1: 

La mayoría de las compañías necesitan proveer 
accesoremotoa los empleados. Generalmente se 
utilizaba una conexión dial-up (DUN) del cliente al 
servidor de acceso remoto (RAS)vía móde ms. 

Para acceso remoto VPN hay que considerar: 
tecnología en la Workstation cliente, qué sucede 
en el medio entre el cliente y el servidor VPN, el 
servidor VPN y finalmente la relación con el 
usuarioremoto. 

El usuario remoto puede ser un empleado o 
individuo de menor confianza (un consultor a 
partner de negocios). Usualmente, el cliente de la 
Workstation estará corriendo bajoel SO Windows, 
peropodrá ser unaestación MAC, Linux o Unix. 
SOs preW2K y Workstation que nosean Microsoft 
imponen algunas limitaciones sobre los tipos de 


Una VPN es una red privada que usa una 
infraestructura pública manteniendo privacidad por 
medio de túneles y procedimientos de seguridad 


soluciones gratis disponibles en diferentes 
siste mas operativos (SO) -por ejemplo: Windows 
o Linux-. Osoluciones que si no están ya enel SO 
pueden bajarse dente met. 

En este artículo se discute la tecnología VPN 
en su forma genérica. Independientemente de 
cómo selas implementa. Es necesario adentrarse 
en los siguientes puntos: 

=Protocolos disponibles (PPTP/ L2TP/ 
IPSec, | PSec Túnel) 

*Qué sistemas operativos pemitenuna 
excelente opción bajo Lin ux 
“Escenarios VPNs más comunes 
(Aoceso remoto, site-to-site, extranet) 
“Autenticaciones 

*Seguridad bajo VPN 

Interoperabilidad de VPN entre Linux y 
MS 

En el caso Windows, si nos referimos a un 
servidor VPN se deberá entender Windows 2000 
Server o Windows.NET Server 2003 con RRAS 
(Routing and Remote Access)activado. 
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protocolos VPN y autenticadiones que se pueden 
usar. Para SOs pre-Win2k se pueden eliminar 
algunas de esta limitaciones haciendo un 
download desde Microsoft. 
Có mo acae de el usuario remoto al VPN server vía 
Inte met no es de importancia. Sí, recordar que el 
ancho de banda deberá ser apropiado para que la 
conexión tenga sentido. Normalmente los 
proveedores de Internet (ISP) no bloquean los 
protocolos que se utilizan. Sólo puede haber 
problemas en el caso de que el usuario remoto 
trate de conedarse al VPN server (vía Internet) 
desde dentro de una red (un empleado visitando 
un cliente o proveedor) y deba pasar un firewall. 
Para este tipo de situaciones, una solución es un 
http-tunnel, como el propuesto e wwwhttp- 
, que pemite llegar a Internet vía el 
puerto 80 de http y entonces establecer el túnel 
VPN. 
Una vez que el usuario remoto “disca” al 
número |P del servidor VPN se ingresa a la etapa 
de autenticadón y autorizadón. Básicamente: 


E) 
mos 


Remote Access from a Client 


¿quién es usted?: Nombrede usuario y password 
y luego, ¿de qué modo lo autorizo a entrar en la 
red? (horario, protocolo). 

Toda ésta infraestructura deberá ser 
configurara por el administrador para garantizar 
seguridad. 

Según el protocolo en uso y el SO en el 
servidor VPN y usuario remoto, existirán 
diferentes modos de autenticar (passwords 
tradicionales, certificados de usuario, tokens o 
biométrica). 

Finalmente si se deseaqueel usuarioremoto 
pueda acceder a la Intranet o si se lo limitará a 
áreas específicas. Se puede implementar esta 
“restricción” de diferentes modos: en el Server 
VPN, en los routers, o en las workstations y 
servers usando IPSec y políticas asodadas. En 
servidores VPN con W2K existe la posibilidad de 
usar Romte Acceses Policies (RAP). 

En W2K uno puede por ejemplo restringir a 
usuarios o grupos de usuarios en el servidor VPN 
un grupo local o de dominio. Por ejemplo, si un 
consultant de Oracle entra en Intranet, ¿cómo se 
restringe el acoeso al servidor correspondiente ? 
Se crea un grupo, llamándolo Orade Consultants, 
y se agregan las cuentas de usuarios. Entonces 
mediante la consola (MMC) de Routing and 
Remote Access (RRAS) se agrega una políticade 
accesoremoto, se lo/inkeaal grupo Consultants y 
se agrega un filtro IP a la política que limite el 
tráfico del usuario remoto a destino, el servidor 
Orade 


SITE-TO-SITE VPN (VPN entre sitios) 
Figura 2: 

Todo lo que se necesita es unservidor W2K en 
cada sitio conectado a la LAN local. Este 
escenario no requiere autenticación de usuario 
pero sí deben autenticarse los servidores VPN 
entresí. 

Cuando se establece la conexión VPN, uno de 
los servidores VPN asume el rol de cliente e inicia 
una conexión con otro servidor VPN. Despuésde 
establecidala conexió n VPN, los usuarios decada 
sitio puede conectarse a los servidores como si 
estuvieranen la mismaredlocal. 

¿Cómo saben los servidores VPN que cada 
uno es auténtico y no un impostor? De acuerdo 
con el protocolo y el SO instalado en los 


servidores VPN, se puede basar la autenticación 
site-to-siteen contraseñas asodadas con cuentas 
de usuario creadas para cada servidor, en llaves 
secretas pre-acordadas o en oertificados para 
cada máquina emitidos por una autoridad 
certificadora(CA, Certificate Authority). 


EXTRANET VPN (Figura 2 con control 
interno) 

Permite conectar la red de una empresa con 
uno o más “partners”. Este escenario es muy 
similar a site-to-site aunque existen pequeñas 
diferencias. Básicamente la confianza entre 
ambas partes es diferente. Se permitirá a una 
sucursal acceder a todos los recursos de la red 
corporativa (site-to-site), pero es posible limitaros 
para un partner. Nomalmente se los restringirá a 
sólounos cuantos servidores dela red. Conel tipo 
de restricción ya desariptos en Remote Access, 
pod emos solucionar el problema. 

La segunda diferencia con site-to-site es que 
muy probablemente nuestro “partner” use una 
solución VPN diferente. Aparece aquí un 
problema de interoperabilidad a resolver. Para 
ello, se deberá atender, por ejemplo, a qué 
protocolos se usanen ambas soluciones VPNs y a 
qué tipode autentica dón se usará. < 


Existen soluciones VPNs provistas por vendors 
pero también las hay gratis incluídas en 
diferentes SO (1.e Windows o Linux 


Figura 1 Figura 2 
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Internet 


Example Site -to-Site VPN 
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lit Brains DIVS 


DNS con Cerebro Partido)? 


En una serie de artículos del excelente newsletter de Mark Minasi (autor de uno de los 
libros más vendidos sobre Windows 2000 Server) se desarrolla el concepto de “DNS 
con cerebro Partido“ (Split Brains DNS). En el presente hemos compactado esos tres 
artículos. DNS es uno de los servicios más importante de la infraestructura de redes 
TCP/IP (ver el artículo en NEX1 “DNS en W2K, un cambio“). Microsoft impuso a partir 
de Windows 2000 un servicio de directorio (Active Directory) basado en el protocolo 
LDAP como un modo de organizar las redes de hoy. AD utiliza DNS como uno de sus 
basamentos y es por eso que resulta fundamental entender DNS (forward lookup 
zones, reverse lookup zones, resource records y muchos otros conceptos). Laidea de 
“Split Brain DNS“ tiene que ver con nuestra configuración DNS en el caso de tener un 
dominioen Internet y otro do minio en nuestra intran et. 


inasi comienza haciendo un chiste sobre 
la importancia de tener bien seteada 
nuestra infraestructura DNS diciendoque 
un amigo se quejaba porque había empezado a 
tener problemas en su espalda mientras corría, y 
él, sin pensar, le respondió .chequea que tu 
servidor DNS esté configurado corre ctamente..... 
Esto es una broma, muchos de los proble- 
mas relacionados al Active Directory se red ucena 
tan solo problemas de DNS. En éste artículo se 
propone la solución como una receta, sumadas 
algunas reflexiones. 


ElPro blema 

Carlos quiere instalar un Active Directory para 
crear un do minio lla mado nex.biz. El no está 100% 
seguro si tiene el DNS bien instalado, perodecide 
correr DCPROMO en su primer servidor de 
Windows 2000. Parece instalarse correcta mente, 
creando el primer controlador del dominio. Hasta 
ahora estátodoen orden. 

Pero entonces, Carlos trata de «dear un 
segundo DC parasu dominio. Corre DCPROMO y 
cuando le dice a DCPROMO que él está creando 
un DC nuevo en un domin lo existente, DCPROMO 
le pregunta qué cuenta usaren otras palabras, 
está didendo .muéstreme que usted tiene una 
cuenta con privilegios administrativos en un 


A)Vamos a llamar al servidor que será el 
primer DC: .OC1.. Instale el servidor DNS en DC1 
y cree una zona nex.biz. Setéelo para aceptar 
actualizaciones dinámicas. 

B)Rescriba cualquier record en la zona de 
nex.biz en DC1 que sería visible para el mundo 
exterior. En otras palabras, si Nex tiene un sitio 
Web llamado www.nex.biz en 197.55.2.9 
entonces asegúrese de incluir un record tipo host 
name .www..con ésa dirección IPde otra forma 
nadie dentro de Nex será capaz de encontrar el 
servidor Web deNex! 

C)Configure DC1 para que el único 
servidor DNS al que siempre se referirá sea a sí 


mismo - setee la dirección IP del . preferred DNS... 


(DNS preferido) a sí mismo no configure ningún 
servidor DNS alternativo. El mero hecho de que 
DC 1 está ahora corriendo un servidor DNS y con 
una zona para nex.biz no causa que DC1 
realmente mirea su propio servidor DNS ozonas. 
(Eso es porque hay dos programas corriendo en 
élel SERVIDOR DNS y CLIENT. El software 
cliente no es avisado automáticamente de la 
existencia de un servidor en la misma computado- 
ra). Mucha genteinstala sus servidores de prueba 
para obtener su infonmación de IP de un DHCP o 
sus servidores depruebas se hallan conedtados a 


Un amigo se quejaba al otro porque le dolía 
la espalda al correr. El primero le respondió 
"chequea que tu servidor DNS este bien seteado"" 


dominio nexbiz existente... Así que Carlos tipea el 
nombre y password del administrador para 
nex.biz. 

DCPROMO piensa por un minuto y hace 
aparecer un box de diálogo diciendo “El dominio 
no existe ono puede ser contactado”, y se detiene. 

Carlos recibiría un mensajesimilar (no el mismo 
mensaje de error, perounosimilar) si, porejemplo, 
intentara unir un workstation a su nuevo dominio 
nex.biz. ¿ Quécausa esto? DNS. 


Lo que realmente pasó 

En ambos casos, detratar de agregar otro DC o 
tratar de unirse a un dominio, usted tiene que 
registrarse (log) sobre el dominio para establecer 
sus credenciales. Pero usted sólo se puede logear 
víauncontrolador dedo minio, así su computadora 
debe encontrar un DC para logearlo. ¿Y cómo las 
máquinas encuentran DCs bajo Active Directory? 
Con DNS. Un DNS configurado incorrectamente 
esa menudolaraíz de problemas más grandes. 


Como instalar DNS para que las cosas 
funcionen siempre 

Con ésa introducción, vamos a descnbir la 
receta. Siga éstos pasos y puede estar seguroq ue 
cualquier proble ma que tenga no es problema del 
DNS. Esto asume que usted estará haciendo 
-Splitbrain...DNS, donde usted mantendrá un 
conjunto separado de records (registros) DNS 
para usar en el dominio de su AD y de los records 
de su DNS público. Por ejemplo, suponga que 
nex.biz ya existe y tienesu presencia DNS alojada 
en algún servidor Unix en un ISP en algún lado. 
Ahorava aquererhacer un Active Directory y crear 
un dominio llamado nex.biz. Como AD necesita un 
DNS, ALGUN servidor debe hospedar una zona 
dinámica con el nombre de nex.biz en él. ¿Debe 
nex.biz recuperar su zona del ISP? Ciertamente 
no. Deje que la zona pública visible para nex.biz 
permanezca en el ISPsólo tiene un par de records 
en él de todas formas, probablemente para 
yww.nexbiz y los servidores de mail de Nex. No, 
lo que hace mos es quedamos con .dos conjuntos 
de libros.los públicos en el ISP, y un conjunto más 
ricodentro de nuestraintranet. 
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un cable módem o DSL, el cual usa DHCP para 
manejar la información de IP. En cualquier caso, 
tiene una situación donde su próximo-a-ser DC 
está buscando informadón del DNS no en sí 
mismo, sino en un servidor DNS, en un ISP o en 
un sitio de una gran corporadón. Esto invalida 
cualquier idea de arear un segundo conjunto de 
libros para nex.biz: seguro, ahora DC1 tiene una 
zona nex.bizcon la que puede hacer lo que se le 
plazca , pero nadie, INCLUYENDO DC1 MISMO, 
le pedirá al servidor DNS que está corriendo en 
DC1 por su opinión de nombres en nexbiz. Otra 
vez, remedieesto haden do que ese primer DC se 
refiera asímismo por DNS queries. 

D)Reiteremos: DC1 debería SOLO 
referirse a si mismo por consultas DNS. Tipee 
IPCONFIG/ALL y verifique que la lista de 
servidores DNS que usa DC1 incluya sólo la 
dirección! PdeDC1. 

E)Ahora cora DCPROMO e instale el 
dominio de nex.biz. Si obtiene un error de 
DCPROMO diciendo que algo como .El wizard no 
pudo contactar el servidor DNS.... entonces pare. 
El wizardofreceráinstalar DNS poruste dlo cual es 
probablemente lo que hizo por Carlospero nunca 
haga eso; el mensaje de error es una indicación 
que DNS no está bien instalado. Frene 
DCPROMO. Abra la línea de comando y tipee 
.ipconfig/flush dns... Entonces tipee .nslookup..y 
después .set type=soa.,.y finalmente .nex.biz. (o 
como se llame su dominio) Usted obtendrá varias 
líneas de salida, una de las cuales identifica el 
. nombre del servidor primario. ..Ese debería ser 
DC1. Si no, vuelva y siga los pasos resumidos 
hasta ahora. Chequee que haya fijado su zona a 
dinámicano son diná micas por default. 

F)Probablemente se está diciendoa usted 
mismo, .ya hice esto una vez, o al menos algo de 
esto. Tuve el mensaje no se puede contactar el 
servidor DNS y le dejé instalar el DNS, y todo 
resultó bien. He estado usando ésa computadora 
en el dominio nex.biz de prueba co mo mi únicoDC 
sin problemas, aunque sí ha estado mirando al 
servidor DNS del ISP, como a su servidor DNS 
preferido.. Cuandouste dledicea DCPROMO que 
siga adelante y aree una zona DNS, DCPROMO 


instala DNS en el servidor y crea la zona, 
escribiendo nuevos records AD en la zona. El 
problema es que una vez que usted rebootea, su 
computadoraDC 1vuelve a mirar el servidor DNS 
de ISP, se ignora a sí misma. El DC para nex.biz 
no puede encontrarseasí mismo. ¿Peroporqué le 
deja logearsesobre él con sus nuevas cuentas de 
nex.biz? Porque AD despierta sobre DC1 yse da 
cuenta que aunque no pueda encontrarse a sí 
mismo en el listado en DNS como un DC para 
nex.biz él es un DC para nex.biz, y se refiere a si 
misma cuan do usted quiere hacer un logon local. 
Son los logons sobre la red los que no funcionan. 
Como la que Carlos trató de hacer desde su 
segun da máquina, el del él sería el segundo DC. 
Veamos cómo instalar el segundoDC. 


2)Instalan doel segundo DC 

A)Comoantes, instaleel servidor de Windows 
2000en una segunda máquina. Llámela DC2 

B)Configure stack (apilado) IP de DC2 
apuntando sólo a DC1 para DNS. Sólo el campo 
del servidor DNS .preferido. debería ser llenado 
con la dirección IP de DC1. No ponga al servidor 
DNS del ISP como una alternativa. Si lo hiciera, 
imagine que DC2 bootee y trate de contadar el 
servidor DNS de DC1. Ahora suponga que DC1 
estuviera ocupado por un minuto y no respondie- 
ra; DC2 empezaría entonces a depender del 
servidor DNS de ISP. El servidor DNS de ISP no 
tiene la infonmadón sobre nex.biz, incluyendo la 
lista de DCs y cuando DC2 trate de encontrar un 
DC para nex.biz para logeanlo a usted, fallará, ya 
que nopodráencontrar un DC. 

C) Usted debería p oder correr DCPROMO en 
la segunda máquina sin problemas. Si esto falla 
use NSLOOKUP para averiguar qué máquina 
DC2piensa que essuDC 
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Así todo debería fundonar. Instale cualquier 
otra workstation o servidor miembro de la misma 
forma: Sus preferencias DNS .prefered. deberían 
soloreferir al servidor DNSdeDC1. Usted puede, 
por supuesto, instalar otros servidores DNS 
dentro de su Intranet, hágalos servidores 
secundarios para nex.biz, y distribuya la carga 
apuntando a algunas máquinas, a una servidor 
DNS, y otras a otro... Pero todo miembro de un 
dominio debe apuntar a un servidor DNS que es 
primarioo secundarioparae! nex.bizintemo. 

Para resumir, entonces, aquí está la forma de 
construir un AD si usted no quiere que la zona 
DNS quesirvesuAD sea visible públicamente: 


1) Instale uno o más servidores DNS dentro de 
su Intranet. Téngalos todos referidos a ellos 
mismos para DNS, y NUNCA refiera un servidor 
DNS afuera desu Intranet. 

2) En unoo más servidores DNS, construya una 
zona para su AD y hágalo dinámico. Haga todos 
los otros servidores DNS dentro de su Intranet 
servidores DNSsecundarios para ésa zona. 

3) Copie cualquier record relevante de su zona 
públicavisiblea suzona intema. 

4) Tome la máquina (que apunta a uno de sus 
servidores DNS internos) que será el primer DC y 
corra DCPROMO. Si obtiene el error DNS de DC 
PROMO, reexaminecomoestá instaladoDNS. 

5) Asegúrese que todos los otros sistemas 
dentro dela Intranet apuntensoloa sus servidores 
DNS intemos; entonces puede usted correr 
DCPROMO para crear más DCs o unir worksta- 
tion y servidores miembros al dominio. L 
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Examen 101 

Ud. debe mandar un ardrivo a un 
compañero de trabajo para que lo pruebe. 
Antes de enviarlo, Ud quiere salvarlo en un 
ardivo llamado newsales donde cada linea 
aparezca numerada. Qué deberia hacer? 

a. catsales > newsales 

b. wc sales newsales 

c. nl sales > newsales 

d. fmt -n sales newsales 


Rta correcta: c 

El comando nl numera las líneas en un 
archivo, y luego la salida es redireccionada 
al nuevo archivo, newsales. 

La opción a es incorrecta. Esta copiaría el 
ardivo sales a newsales. 

La opción b es incorrecta. Esta cuenta 
caracteres, palabras y líneas contenidas en 
ambos archivos, sales y newsales. 

La opción d es incorrecta, el comando fmt 
se usa para acomodar líneas de la manera 
especificada. Y aparte, la sintaxis es 
incorrecta. 


Examen 102 

Ud tiene tres partidonesen su disco rígido 
y además tiene un espacio libre de 2 GB. 
Ahora tiene que instalar una aplicación que 
necesita dos particiones, una de 50 MB, y 
otra de 300 MB. 

Qué debe hacer? 

a. Crear dos particiones nuevas en el 
espacio libre 

b. Crear una partición nueva, primaria y 
luego dividirla con mkfs. 

c. Crear una partición nueva, extendida 
de 2 GB y luego crear dos particiones 
lógicas , una de 50 MB y otra de 300 MB. 
d. Hacer un backup de sus particiones, 
borrarlas y volver a crearlas de manera 
que sean 350 MB más grandes. 


Rta correcta: c 

En un mismo disco puedo tener hasta 
cuatro partidones primarias. En este caso 
necesitaba cinco. Entonces en el espacio 
libre que tengo en disco, creo una partición 
extendida (la cuarta partición), yésta la 
divido en las dos particiones (lógicas) que 
necesito. 

Con la explicación anterior, también vemos 
porque no es correcta la opción a. 

La opción b es incorrecta porque el 

coman do mkfs, no se usa para crear 
partidones, sino para crear un fillesystem. 
La opción d es inconsistente, esto no me 
resolvería el problema. 


Examen 201 

Las siguientes afirmaciones tratan sobre 
archivos de configuración en BIND versión 
4 y BIND versión 8. Seleccione cuáles son 
verdaderas. 

a. La información es en su mayoña, la 
misma, pero la sintaxis es diferente. 

b. La sintaxis es esencialmente la 
misma, pero la información es diferente. 
c. Las dos versiones de BIND usan el 
mismo archivo de configuración. 

d. BIND versión 4 usa un archivo de 
configuración binario en vez de un 
archivo de texto. 

e. BIND versión 8 usa un archivo de 
configuración binario en vez de un 
archivo de texto. 


Rta correcta: a 

BIND versión 8 tiene un formato más 
modemo, más modular, pero la infonmadón 
sigue siendo la misma. 


Examen 202 

Cómo puede habilitar el demonio finger. 
Seleccione una. 

a. Descomentar la linea ¡n.fingerden el 
archivo /etc/inetd.conf. 

b. Usando cron para eje cutar fingerd una 
vez por minuto. 

c. Incluyendo fingerd en la configura ción 
de TCP Wrappers. 

d. Eliminando fingerd de hosts.deny. 

e. Agregando fingerda hosts.all ow. 


Rta correcta: a 

Generalmente fingerd , portemas de 
seguridad, se deshabilita usando 
comentario en /etc/inetd.conf. 
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Clusters Beowvu 


Un poco de historia 
a noción de aunar el poder individual de 
L las computadoras para lograr una mayor 
potencia de cálculo no es novedosa en 
absoluto. En las décadas del 50 y 60, la Fuerza 
Aérea norteamericana construyó una red de 
computadoras (funcionando con válvulas en lugar 
de circuitos integrados) como método de defensa 
contra un eventual ataque nuclear de la entonces 
Unión Soviética. Denominaron a esa red SAGE 
[1]. 

A mediados de los 80, la Digital Equipment 
Corporation acuñó el término «cluster» para 
bautizar susistema de minicomputadoras VAX[1]. 

A comienzos de los 90, tanto la caída en los 
precios de las computadoras personales, mejor 
conocidas como «PCs», comoel rápidodesarrollo 
de la temología Ethernet, dominante para 
conectar computadoras en una red local, 
condujeron de manera lógica a la idea de utilizar 
PCs como «unidades de construcción» de un 
cluster. Sin embargo, existía una dificultad 
importante : el sistema operativo de las PCs noera 
tan flexible ni tan poderoso como el sistema 
operativo UNIX, utilizado en la mayoría de las 
computadoras de mayor porte. Hubo que esperar 
muy poco tiempo hasta que Linus Torvald 
presentara en sodedad y ofreciera gratuitamente 
su sistema operativo «Linux», un UNIX 
especialmente diseñado para instalar en PCs. 
Estaban dadas las condiciones para construir un 
clusterdePCs con siste maoperativo Lin ux [1]. 

En 1994, el Centro Espadal Goddard de la 
NASA presentó un duster de 16 PCs, todas ellas 
con procesador Intel486, utilizando Linux como 
sistema operativo y Fast Ethernet como 
tecnología de conexión. Obtuvieron una potenda 
máxima de cálculo de 70 megaflops (1megaflop = 
1 millón de operaciones de punto flotante por 
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original el mismo debería aj en 
una PC cumpliendo el rol de servidor y 
una o más PCs clientes conectados a 
aquel por una red Fast Ethemeto mejor. 
Debe construirse utilizando hardware que 
pueda adquirirse en cualquier negocio 
especializado con el fin de que las 
dificultades o desperfectos puedan 
subsanarse inmediatamente y, además, su 
configuración pue da reproducirse con facilidad. 
El software debe también cumplir con el requisito 
de gratuidad o, eventualmente, bajocosto. 

El servidor administra los clientes, las tareas 
asignadas en éstos y es además la conexión con 
el mundo exterior. Es deseable que los clientes 
sean máquinas «bobas» en el sentido que ni 
siquiera presenten una pantalla para ingresar 
nombre de usuario y dave. En este sentido, un 
cluster Beowulf puede pensarse como una única 
máquina con unidades de CPU y memoria que 
pueden darse de alta o de baja en cualquier 
momento. Esta es una diferencia importante con 
un cluster de estaciones de trabajo, donde cada 
uno de sus componentes es en sí mismo una 
máquina independiente de la cual, en ciertas 
ocasiones, se requiere su servido para ejecutar 
aplicadones en paralelo. 


Hardware e instalación de un cluster 
Beowulf 
La elección del hardware para construir el 
cluster Beowulf depende fuertemente de las 
aplicadones aejecutar enel mismo. Esimportante 
conocer a priori el fador limitante de dichas 
aplicadones. Una aplicación que se ejecuta en 
paralelo puede estar limitada por el poder de 
cómputoo bien por la cantidad delectura/escritura 
de datos en los discos duros. Así, una aplicación 
limitada por el poder de cómputo requerirá de 
— 


En los últimos años los clusters han afianzado su prescencia 
en el ambito NO academico. Ejemplo: base de datos Oracle 
corriendo bajo cluster de 4 Pc's con Linux 
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segundo), similar a la brindada por sistemas 
comerciales cu yo valor era de 10 veces superior al 
del duster de PCs. Denominaron al cluster 
«Beowulf», en honor del rey anglosajón del 
medioevo que derrotó al monstruo Grendel 
arrancándoleun brazo[1]. 

A casi diez años del nacimiento del duster 
Beowulf, en la actualidad es posible verificar la 
presencia en el puesto 5 del Top500 [2] de un 
cluster de PCs basado en 1920 procesa dores Intel 
Xeon de 24 GHz situado en el Lawrence 
Livermore National Laboratory de los Estados 
Unidos, el cual alcanza casi 6 TFlops de 
rendimiento sobre unpico teóricode9.2 TFlops. 

Asimismo, los clusters han afianzado su 
presencia en el ámbito no académico. A modo de 
ejemplo, la empresa desarrolladora de la 
mundialmente utilizada base de datos Oracle, 
promociona un duster de cuatro PCs con Linux 
como sistema operativo como «confiable e 
indestructible» para ejecutarsu producto[3]. 


2 
No existe una única definición de duster 
Beowulf, pero si nos atenemos a la configuración 


veloces procesadores y una red de 
comunicaciones dealta velocidad paraalcanzarla 
eficiencia deseada. Por otro lado, una aplicación 
limitada por lectura/escritura aumentaía su 
eficacia en un sistema con procesadores de 
mediana a baja velocidad y una red de 
comunicaciones tipo Fast Ethernet. 

La instalación de un cluster Beowulf no es 
una tarea complicada pero requiere atender 
especialmente algunos detalles. Es conveniente 
que el cluster constituya una red privada, es decir 
utilice direcciones de tipo 192.168.x.x O 10.0.x.x. 
Si el servidor acepta conexiones desde otra red 
interna o desde el exterior, el mismo deberá 
poseer dos placas de red. La instaladón del 
sistema operativo en el servidor debe incluir el 
software NFS (Network File System). La 
distribución RedHat 7.2 lo induye en su paquete 
base. De esta forma, las cuentas de usuarios y el 
software y bibliotecas necesarias para ejecutar 
aplicaciones en paraleloresiden únicamenteenel 
servidor y los clientes acceden a los mismos 
montando el sistema de archivos o diredorio 
correspondiente. De esta manera, las tareas de 
administración, mantenimiento y actualización se 


¿Qué es «High Performance Computing»? 


El término «High Perfonmmance Computing» 
(computación de alto rendimiento) tiene su 
origen en el trabajo desarrollado por Seymour 
Cray al diseñar y construir las computadoras 
que llevan su nombre. Esos sistemas 
vectoriales proporcionaban un poder de 
cómputo un orden de magnitud mayor queotros 
sistemas contemporáneos, razón por la cual 
fueron denominadas «sup ercomp utado ras». 

El rápido incremento mostrado en nuestros 
días tanto por la velocidad de los procesadores 
de computadoras personales como por la 
reladón rendimiento/predo que las mismas 
suministran, sumado al desarrollo de tecnolo- 
gías de redes de alta velocidad, conducen 
necesariamente a una profunda transformación 
del concepto original de High Performance 
Computing. Actualmente, pensar en un sistema 
para efectuar computa dón de alto rendimiento 
es pensar en un duster de computadoras 
personales utilizando el sistema operativo 


Linux y efectuando sus tareas bajo un entomo de 
programaciónen paralelo. 

Muchas son las disciplinas que requieren 
llevar a cabo diariamente computación de alto 
rendimiento como una parte importante de sus 
actividades. La astronomía, la biología, la física, 
muchas ramas de la ingeniería, y la química son 
algunas de esas disciplinas. El procesamiento de 
imágenes, la determinación de la secuencia de 
los nucleótidos en el ADN y la simuladón 
numérica de procesos de interés biológico, 
químico o físico son algunas de las actividades 
que requieren de la computación de alto 
rendimiento para alcanzar resultados en tiempos 
razonables. 

Podemos decir entonces que la «computa- 
ción de alto rendimiento» es aquella dedicada a 
la resoludón de problemas bien determinados 
por medio de sistemas de altísimo poder de 
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vennotoriamente facilitadas. 

Siguiendo la misma filosofía, es altamente 
conveniente que los clientes sean exactamente 
idénticos desde el punto de vista de las 
características del sistemao perativo instalado. 

Debido a la necesidad de que los paquetes 
de información migren libre mente entrelos nodos, 
los comandos rsh, login y rexec deben poder 
ejecutarse en forma «transparente», es dear, sin 
necesidad deintroducir daves. 

Finalmente, las bibliotecas PVM (Parallel 
Virtual Machine) [4] y MPI (Message Passing 
Interface) [5], esta última en sus versiones LAM- 
MPI [6] o MPICH [7], son el único software 
impresandible para poder desarrollar y ejecutar 
aplicadones en un cluster Beowulf. 


£ » 

Muy recientemente se ha introducido el 
concepto de «Beowulf2» para indicarimportantes 
modificaciones en lo que hace a la instalación, 
administración y distribución de procesos en un 
cluster Beowulf [8, 9]. Esas modificaciones parten 
de reconocer algunos defectos de los duster 
Beowulf originales: adicionar nuevos clientes 
implica instalar el sistema operativo en ellos y 
modificar los archivos necesarios en el servidor y 
en los viejos dientes para que los nuevos sean 
reconocidos; una actualización de kernel 
importante hace necesaria la instalación de los 
parches y la recompilación de aquel en todos los 
nodos del cluster, etc. 

La aparición de los paquetes Scyld [10] y 
OSCAR [11] tiene la intención de facilitar no sólo 
la instalación y administración del duster, sino 
también las tareas de adicionar nuevos dientes y 
actualizar versiones de kernel. A modo de 
ejemplo describiremos con algún detalle la 
instalación de un cluster Beowulf utilizando el 
paquete Soyld. 
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Scvld 

La versión básica, sin soporte ni 
documentación, del paquete Scyld puede ser 
descargada desde ftp://ftp.scyld. com/pub. La 
últimaversión disponibleenese sitioesla 27Bz-7. 
La notación «Bz» es utilizada para indicar que se 
trata de la versión básica y diferenciarla así de la 
versión comerdal, con soporte y documentación 
incluida, identificadacomo«Cz». 

Como se comentó anteriormente, es 
recomendable que la configuración del duster 
sea como la que se muestra en la figura ya que la 
instalación pemite ajustar los pará metros de dos 
tarjetas de red. 
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No es necesario que el servidor tenga una 
distribución de Linux preinstalada ya que Sayld 
traelaversión 6.2 de RedHat. 

Unavez establecido en el BIOS el inicio desde 
la lectora de cd, lo primero que se observa es una 
instalación típica de RedHat. Es altamente 
recomendable elegir el modo gráfico de 
instalación y luego una instalación completa con 
soporte gráfico en el escritorio Gnome, ya que 
algunas herramientas del paquete están sólo 
disponibles en ese modo. Si se tiene suficiente 
experiencia en instalación de Linux, se puede 
elegir el modo «custom» ya que entonces se evita 
la instalación de muchas aplicaciones que casi 
seguramente nunca se usarán. En este caso, es 
conveniente pemmitir la instalación del modo 
gráfico con el escritorio Gnome por las razones 
arriba mencionadas. 

Sól una diferencia se puede apreciar 
respecto a una instalación típica de RedHat: una 


servidor acepta los requerimientos y las 
direcciones físicas de aquellos aparecen en la 
ventana derecha de la aplicación BeoSetup, 
«Unknown Addresses». Dichas direcciones se 
arrastran con el ratón a la ventana central d 
BeoSetup, «Configured Nodes», y automática- 
mente el servidor envía una orden de reinido a 
cada diente. El cambio de estado de los dientes 
resulta evidente al ver la palabra «up» en la 
columna «Node Status» de la ventana central de 
BeoSetup. Al mismo tiempo, BeoStatus refleja los 
cambios producidos al dar dealta los clientes enel 
cluster. 

Los discos duros de los clientes se partidona 
con la utilidad beofdisk que debe ser invocada 
desde una consola 
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tt>beofdisk -d 
Ht>beofdisk -w 


"Beowulf 2” ha introducido importantes 
modificaciones en la instalación y distribución 
de procesos en un cluster Beowulf. 


ventana dedicada a configurar la interfaz eth1, la 
segun datarjeta dered. Si seescoge, por ejemplo, 
una dirección privada 192.168.1.1 para el 
servidor, entonces el rango de direcciones a usar 
debe comenzar en 192.168.1.2 y terminar en 
192.168.1.99, siendo 99 un número tentativo (¡y 
optimista!), porsupuesto. 

Una vez finalizada la instalación del sistema 
operativo, el servidor se reinida y luego decargar 
el escritorio automáticamente se inician tres 
ventanas: una guía de instalación rápida de los 
clientes, la aplicación BeoSetup parainstalarlos y 
laaplicación BeoStatus para monitore ar el estado 
del cluster. 

Los clientes deben poder iniciarse desde el cd 
de Scyld o desde un disquete que haya sido 
generado con la utilidad BeoBoot. Ya que resulta 
engorrosoestarllevando el cddeun clientea otro, 
es conveniente generar un disquete por cada 
cliente del cluster. Un botón para tal fin se 
encuentra en la ventana de BeoSetup del 
servidor. Una vez generados los disquetes, se 
usan parainidar los clientes. 

Lo que sigue es muy interesante: cada diente 
envía al servidor un requerimiento de dirección 
RARP (Reverse Address Resolution Protocol). El 


La opción -d usa la configuración 
predeterminada para partidonar los discos de 
todos los clientes y -w ocasiona la escritura de la 
tabla de partición en los mismos. Para que estos 
cambios surtanefecto, debenadivarse las líneas 
con infomación de los sistemas de archivos 
/dev/hda2 y /dev/hda3 en el archivo 
letdbeowulf/fstab y comentar la línea que 
comienza con $RAMDISK. 

Si se desea transferir la imagen de inicio de 
BeoBoot al disco duro de los dientes, debe 
ejecutarse 


tt>beoboot-install -a /dev/hda 


El último paso implica reiniciar todos los 
clientes, lo cual se efectúa por medio de un único 
coman do desd eel servidor 


*>bpctl -S all -sreboot 


De esta forma, se tiene un cluster Beowulf 
instalado y o perativo en menos de una hora. 
Como broche de oro, el paquete Scyld 
permite comprobar el rendimiento del cluster por 
medio de la utilidad Linpack [12]. 
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GNU/LINUM 


A 


el grupo de usuanjos de gnu/linux 
que rabla en tu "idioma" 
no tenes que ser un genio para conocer al 
sistema operativo del pinauino 


* charlas abiorias de instalación 
* aventos en univarsidades y entidades aducativas 


* asesoramiento a empresas y organismos 
* difusión de la cultura gnu en lenguaje simple y entendible usuarlos gnu/linux unidas 
* el lugar indicado para el usuario nuevo argentina 
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¿Necesito un cluster 
Beowulf para 
mis actividades? 


No todas las actividades precisan de un alto 
poder de cómputo para su realización. Por 
ejemplo, construir un cluster de 4 
procesadores para utilizar el procesador de 
textos favorito es verdaderamente un 
desperdicio. Sin embargo el manejo de 
grandes bases de datos, el tratamiento de 
imágenes satelitales o la resolución de 
problemas numéricos en diversos campos de 
la ciencia justifica plenamente la 
construcción o adquisición de tal duster o de 
uno más poderoso. 
Básica mente uno podría preguntarse: 


*¿Tengo limitaciones de velocidad, memoria, 
etc. para llevar a cabomis tareas? 


*¿Tengo programas o paquetes de 
programas que pemniten ser ejecutados en 
paralelo utilizando el paradigma de 
«message passing»? 


*¿Los programas que desarrolla mi grupo 
pueden ser adaptados para ser ejecutados 
en paralelo bajoel paradigmaanterior? 


Si las respuestas a estas preguntas son 
positivas, entonces debería plantearse 
seriamente la posibilidad de asesorarse y, 
eventualmente, construir o adquirir un duster 
Beowulf. 

Si bien es cierto que todas las ventajas 
de un cluster Beowulf pueden ser obtenidas 
por siste mas comercializados por empresas 
reconocidas internacionalmente, es 
mundialmente aceptado que un sistema 
Beowulf pro pordona el mismo rendimiento a 
un costo por lo menos diez veces menor al 
del sistema co merdal. 
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LPI se asocia con 
UnitedLinux y Sage 


, — 
(0) UNITEDLINUX 


SAGE 


El Linux Professional Institute (LPI) esta entre 
dos iniciativas que pueden conducir a las 
diferentes certificaciones Linux a estar mas 
integradas. 


Primero, UnitedlLinux, una coalición de 
compañías (incluye a IBM y HP y que ofrece 
un “sistema operativo Linux de base Standard 
apuntado al usuario de negocios”), anundó 
en Linux Word en NY que el LPI esta 
ayudando a desarrollar un programa de 
certificaciónparasus usuarios. 


Dos títulos UnitedLinux serán emitidos. 
UnitedLinux Certified Professional (ULCP) y 
Unite dLinux Certified Expert (ULCE). Ambos 
estarán basados en aprobar dos exámenes 
LPI mas un único examen del United Linux 
program. 


“Nuestro convenio muestra a la comunidad 
open souce trabajando juntos para alcanzar 
un éxito colectivo,” comento el presidente de 
LPI, EvanLeibovitch. 


LPI también anuncio que esta investigando 
una asodación con Systems Administrators 
Guild (SAGE), una división de USENIX que 
tambiénofreceunprogramade 
Certificacdón vendedor-neutral. 


La asociación podría resultar en un arreglo de 
socios mutuos entre las dos organizaciones, 
dijeron las compañías. “LPI esta ejecutando 
un buen servicio a la comunidad de 
administradores de sistemas, y esperamos 
trabajar sobre los detalles de la asociación 
que culminaran en un arreglo especial de los 
socios SAGE para aquellos certificados por 
LPI", “dijo el Director Ejecutivo de SAE, Rob 
Kolstad. SAGE es independiente de 
vende dor (marcas), tecnologías particulares 
o filosofías, poreso nuestras organizaciones 
son compatibles y una buenacombinadón 


En el anuncio ninguno comento acerca de 
cómo la asociadón podría afectar los 
programas de certificación de las 
organizaciones. 


Para mas información vea: www.lpi.orq , 
www.united linuX.COM, y WWwWw.Sage.org 
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Bajando costos con Frees/WAN 


ace unos años pensar en utilizar un 

sistema de VPN sobre Internet para 

conectar dos sucursales de nuestra 
empresa parecía una tarea muy compleja, 
requería conocimientos difíciles de adquirir, y 
tení aun costo mu y alto. Pensar enunaVPN sobre 
una red insegura como lo es Intemet era algo 
descabellado, que brindaba muy pocos 
benefidos y que, solo era aplicado cuando 
teníamos que conectar redes remotas en las 
cuales el proveedor de comunicaciones no nos 
pod ía brindar una solución la cual se aplicase al 
presupuesto de comunicaciones. Los tiempos 
han cambiado, y hoy, se pueden obtener 
“appliances* desde 300 U$S que pueden 
conectar (por lo menos así dice el manual) hasta 
16 subredes remotas sobre cualquier enlace 
WAN o Intemet, apareció el soporte para lPsec en 
entomos Microsoft junto con L2TP, aparecieron 
routers CISCO y 3COM y otras tantas compañías 
que brindan, casi siempre sobre el estándar 
IPsec, variantes para conedar puntos remotos 
sobre una red insegura, a un costo relativamente 
bajo. Ahora llego el tumo del software libre que 
hoy poseen una herramienta poderosísima para 
manejar VPNs de una manera sencilla y con un 


PLUTO; demonio! KE, se encarga de negociar las 
conexiones con otros sistemas. El protocolo IKE 
(Internet Key Exchange) es el encargado de 
negociar los parámetros de una conexión entre las 
dos partes participantes. 

Diferentes scripts: que automatizan la tarea de 
administración de nuestro Gateway FreeS/Wan 
agregan dorutas cuandosea necesario. 


Los modos más tradidonales de uso de 
FreeSMAN no tienen nada que envidiarle a otras 
implementaciones de VPNsobre IPSEC. 


Tipos de Conexiones: 

Punto a Red: un host que soporta IPsec se 
conecta a una red entera. Puede acceder a 
cualquier punto de la misma de manera segura y 
confiable. 

Red _a Red: una red entera accede a otra 
conectándose con IPsec. Se puede acceder en 
cualquier maquina de ambas redes de manera 
segura y confiable. 
Road Warrior: son los llamados “guerreros del 
camino”. Esta denominación es generalmente 
aplicada a host que se conedan a una red 
“segura” pero que tienen ip variable y el tipo de 
conexión es indiferente para FreeS/WÁN, el único 


contacto previo y ninguno de los sistemas tenga 
predefinido informadón del otro. 

Para esto ambos sistemas deben tomar la 
información de autenticación que necesiten de 
DNS, así, los administradores, solo ingresan “su” 
información en el sistema DNS y setean “su” 
gateway con OE. Para esto debemos contar con 
algún servidor DNS que soporte DNSSEC. 


Esta técnica brinda dos grandes 
beneficios: 

Reduce el esfuerzo administrativo enorme- 
mente para lIPsec. Un administrador configura el 
gateway FreeS/WAN, y todo lo demás es 
automático, la necesidadde configurar de manera 
“túnel” desaparece. 

Permite crear un ambiente en el cual la 
privacidad es un defecto. Todo él trafico será 
encriptadosiempre queel otro ladolopemita. 

OE no es todavía un estándar dentro del 
protocolo IPsec, pero, actualmente se encuentra 
en proceso de demostración para la futura 
incorporación dentro de |Psec. Solo un producto 
comercial implementa una forma de OE, Secure 
Send mail, el cual, automáticamente encripta 
transferencias de email entre servidores siempre 
que seaposible. 


Cuadro de compatibilidad: 


Gateway A: Pentium Celeron 400 Mhz. 128 MB 
RAM PC-100. Modem56k US ROBOTICS. 
Gateway B: Pentium Celeron 400 Mhz. 128 MB 
RAM PC-100. Modem56k US ROBOTICS. 


En este caso la conexión se realizo con un 
proveedor gratuito de Internet, “Keko”. La 
velocidad final de la VPN fue de 33. 6/33.6 kbps y 
nue va mente esto se debió a una limitación de la 
conexión a Intemet. El único dato diferencial en 
esta prueba fue que aunque la velocidad de 
conexión es relativamente baja la latenda de la 
conexión creció nota ble mente. 

De Gateway A a Gateway B utilizando como 
interfaz ppp0 con un ping llegamos a tener 
latencias entre 180 y 250ms. Mientras que si 
realizábamos la misma operación desde la 
interfaz ipsecó (la interfaz virtual de FreeS/WAN 
lalatenciase incrementeentre 230 y 320ms. 


FreeS/WAN propone implementar VPNs sobre el 
estándar IPsec, conectividad con otros productos 
comerciales, y, una alternativa en los costos 

de licenciamiento, como todo software libre. 


Aquí se define un cuadro de compatibilidad entre 
Free SMAN y otras implementaciones IPsec: 


(E A 


FreeS/WAN VPN 


AAA RSASecre 


x 
(requiere e 


alto grado de seguridad. Esta herramienta es 
llamada FreeS/WAN, Free Secure over WAN. 
Esta maravilla del softwarelibrees underivado de 
un producto llamado S/Wan Secure WAN que con 
el tiempo fue reemplazado por FreeS/WAN. La 
idea fundamental de FreeS/WAN es brindar 
soporte para el protocolo IPsec para el kemel de 
Linux y mantener un estándar del mismo que 
permita realizar conexiones hacia otras 
implementaciones. La misma pemmite manejar 
con el estándar IPsec tantos puntos VPN 
“aguante” nuestro hardware, es decir, la limitación 
ya no es problema de la administración de las 
redes, sino el hardware en sí mismo, y aun así, 
logracumplir su cometido con creces a la hora de 
establecer VPN con un alto nivel de encriptación 
en los datos y conexones de gran ancho de 
banda. Cabe destacar que es posible utilizar 
FreeSWAN con hardware dedicado para 
encriptación utilizando alguna de las tantas 
placas que proveen de chips dedicados a la 
encriptación. 


FreeS/WAN consta de 3 partes funda- 
mentales: 

KLIPS: es el soporte del protocolo IPsec dentro 
de nuestro kernel Linux. Implementa AH, ESP, y 
manejo de paquetes dentro del kernel. El 
protocolo AH (Autentication Header) provee 
autenticadón de paquetes a nivel kemel. El 
protocolo ESP (Encapsulating Security Payload) 
proveeendiptación más autenticación. 


Carreral linux 


45 hs + Materiales 


requisito es que este conedado a la misma red 
“insegura”, en este caso, Intemet, y una note book 
que accedaa la misma através de Dial-Up, ADSL, 
Cable-Mó dem, etc. 


FreeSMAN puede ser obtenido desde la 
pagina oficial www.freeswan.org. Cuando 
hablamos de soporte para IPsec sobre el kernel 
de Linux estamos hablando de que hay que 
aplicarle “parches” a nuestro Linux. Los 
contribuidores de FreeS/WAN han hecho un 
excelente trabajo y brindan rp ms para las últimas 
versiones de kemel de RedHat que fadlitan 
ampliamentela tarea del administrador. 


Los rpms constan de dos partes: 
Freeswan-module: es el rpm que contiene los 
módulos necesarios para dar soporte IPsec sobre 
nuestrokernel actual. 

Freeswan-1.99: son las llamados “userland 
utilities”, utilidades a nivel usuario que manejan 
todo el sistema de ruteo cuando una conexión es 
establecida, y el demonio que corre en “user- 
space”. 


Oportunistic Encriptio n: 

Uno de los puntos fuertes y diferen dadores 
de FreeS/WAN sobre otras implementaciones es 
el llamado OE (Oportunistic Encription). El mismo 
pemite que dos gateways FreeS/WAN se 
comuniquen entre sí encriptando él tráfico, 
incluso si los administradores nunca han tenido 
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Performance de FreeS/WAN: 


Contemplando que se utilice solo software, el 
encargado de realizar toda la encriptación y 
desencriptación de datos, será el procesador, 
obviamente, afectan factores como el tipo de bus, 
memoria, etc. 

Las siguientes pruebas fue ron realizadas: 
Gateway A: Pentium Celeron 400 Mhz. 128 MB 
RAM PC-100. Realtek 8139-c PCI. 
Gateway B: Pentium Celeron 400 Mhz. 128 MB 
RAM PC-100. Realtek 8139-c PCI. 


Realizando una conexión con la compañía 
“Fibertel” en un cablemódem de 128kbps de 
upstream y 512kbps de downstream la velocidad 
final de nuestra VPN fue de 128kbps tanto de 
upstream como de downstream, esto es debido a 
una limitación de nuestro servicio de Internet, y 
aun así, ambos Linux continuaban con procesador 
libre comopara seguirrealizandootras tareas. 


Con FreeS/WAN 
Lo 


Conclusión 
Free SMAN propone implementar VPNs sobre 
el estándar lPsec, conectividad con otros 
productos comerciales, y, una alternativa en los 
costos de licenciamiento, como todo software 
libre. La administración del mismo es 
relativamente sencilla y la documentacióntémica 
encontrada en el sitio oficial es bastante buena, 
permitiendo realizar conexiones inmediatamente. 
La performance es bastante buena pero esta 
directamente relacionada con la potencia de 
nuestro hardware. Cabe aclarar que FreeS/WAN 
pue defuncionar ensistemas SMP pero la división 
de lastareas no llega a un aumento del 35% enla 
performance. 
€ porArielMella 
(MCSE, LPIC-Nivel2) 


s t e 
E artículo 
está basado 


en una nota aparecida en el magazine Linux 
Journal (ampliada en muchas partes) y trata sobre 
la implementación de OpenLDAP, que se llevó a 
cabo en Midwest Tool € Die, una compañía 
americana,ubicada en Indiana que se dedica al 
estampado para la industria automotriz y para la 
industria electrónica. La idea surgió hace tres 
años cuando la compañía necesitó compartir la 
información desus directorios, y enla impementa- 
ción participó el área de ingeniería de la 
Universidad de Purdue. 

Midwest Tool 8 Die están usando OpenLDAP 
hace 3 años y su performance ha sido intachable. 
La compañía vio el primer gran beneficio al 
compartirlos contactos de la agenda electrónica. 
Ahora han unificado su logon desde cualquier 
computadora de la red. Sus usuarios pueden 
acceder al mismo archivo a través de 
Windows/Samba o de Linux/N FS/automount. 

El articulo lo dividire mos en 2partes. Una sera la 
publicada en NEX a modo de introduccion y el 
articulo completo estara en nuestra web page 

) como archivo pdfde modo 
de quese pueda hacer un download. 

Todo el articulo esta basado en un ejemplo de 
un entornosimple. 

(Vea la Figura 1). 

Figura 1 
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La configuración utilizada en este artículo no 
documenta el uso de SSL. El programa Idap- 
sync.pl que usapuede exponer suLDAP manager 
password. Como resultado, los clientes Windows 
pueden cachear sus passwords de usuario, 
creando por lo tanto, un nuevo riesgo para la 
seguridad Linux. (Ni Midwest Tool 8 Die, ni sus 
empleados, ni los autores de este artículo, se 
hacen responsables por suseguridad) 

Antes de entrar en la instala dión y configuración 
del servidor LDAP, veamos un poco más en 
profundidad de qué se trata..... 


Introducción 


1¿Quées LDAP? 

LDAP (“Lightweight Directory Access Protocol", 
«Protocolo Ligero de Acceso aDirectorio s» ) es un 
protocolo de tipo cliente -servidor para acceder a 
un servidodedirectoro. 


1.2 ¿Quées unservicio de directorio? 

Un directorio es como una base de datos, pero 
en general contieneinformación más descriptiva y 
más basada en atributos. La información 
contenida en un directorio nomalmente es lee 
mudo más de l que se escribe. Como 
consecuencia los directorios no implementan 
normalmente los complicados esquemas para 
transacciones o esquemas de reducción 
(rollback) que las bases de datos utilizan para 
llevar a cabo actualizaciones 
complejas de grandes volúmenes 
de datos. Por contra, las 
actualizaciones en un directorioson 
usualmente cambios sencillos de 
«todo O nada», si es que se 
permiten enalgo. 

Los directorios están afinados 
para proporcionar una repuest: 
rápida a operaciones de búsqued 
o consulta. Pueden tener 
Capacidad de replicar infomadó 
de foma amplia, con el fin d 
aumentar la disponibilidad y la 
fiabilidad, y a la vez reduar el 
tiempo de respuesta. Cuando se 
duplica (o se replica) la información 
del directorio, pueden aceptarse 
inconsistendas temporales entre la 
información que hay enlas réplicas, 
siempre que finalmente exista una 
sincronización. 

Existen muchas maneras distintas 
de proporcionar un servido de 
directorio. Los diferentes métodos 
permiten almacenar en el directorio 
diferentes tipos de información, 
establecer requisitos diferentes 
para hacer referencias a la 
información, consultarla y 
actualizarla, la forma en que 
protege al directorio de acoesos no 
autorizados, etc. Algunos servicios 
de directorio son locales, 
proporcionando servicios a un 
contexto restringido (por ejemplo, el 
servicio de finger en una única 
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Al comparar un software con el otro 
debemos tener en cuenta que ambos en su 
contracara generan codigo HTML y 
JavaScript entre otros lenguajes y que por lo 
tanto la diferencia entre ambos es su inerface 
visual y su canal operativo por lo que la 
usabilidad de los mismos depende del 
usuario y sus preferencias. 

El MS Frontapge es muy bueno como 
programa para principiantes con poco o 
ningún conocimiento de HTML, ademas 
permite utilzar modelos o preformatos de 
diseño de pagina para construir su Web site 
en minutos. Dar fromato al texto e insertar 
imágenes de forma tan fácil como usar 
cualquier otro procesador de textos, con el 
cual la mayoría de la gente esfamiliar. 

En consecuencia podriamos decir que el 
FP está más orientado hacia el consumidor 


máquina). Otros servicios son globales, 
proporcionando servicio en un contexto mudho 
más amplio. 


1.3 ¿Cómo funciona LDAP? 

El servicio de directorio LDAP se basa en un 
modelo diente-servidor. Uno o más servidores 
LDAP contienen los datos que conforman el árbol 
del directorio LDAP o base de datos troncal. El 
cliente Idap se conecta con el servidor LDAP y le 
hace una consulta. El servidor contesta con la 
respuesta correspondiente, o bien con una 
indicadón de dónde puede el diente hallar más 
información (normalmente otro servidor LDAP). 
No importa con qué servidor LDAP se conedte el 
cliente: siempre observará la misma vista del 
diredorio; el nombre que se le presenta a un 
servidor LDAP hace referencia ala mismaentrad a 
a la que haríareferenciaenotro servidor LDAP. Es 
ésta una característica importante de un servicio 


o 
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OPEN LDAP 


El propósito de este artículo es mostrar Open LDAP como el servicio principal de directorios para entornos heterogéneos. 
El server LDAP permite compartir, por ejemplo, la libreta de direcciones que usamos en nuestro cliente de correo, 
también provee un login unificado para los usuarios Linux y Windows, auto mount de directorios home, y compartición 
dearchivos para clientes Linux y Windows. 


LDAP (“Lightweight Directory Access Protocol", 
«Protocolo Ligero de Acceso a Directorios») es un 
protocolo de tipo cliente-servidor para acceder 


a un servicio de directorio. 


de directorios universal como LDAP. 

El demonio o programa servidor para el 
dire torioL DAP se llama sílapd y pue deejecutarse 
sobre mudas plataformas UNIX diferentes. 

Hay otro demonio o programa servidor que se 
encarga de la replicación entre servidores. Su 
nombre es slurpd y por el momento no necesitará 
preocuparse de él. En este documento, 
ejecutaremos un slapd que propordona servicio 
de directoriopara su dominio local única mente, es 
decir, sin slurpd. 


servidorLDAP 


Elegimos bajar los paquetes binarios RPM , 
instalamos openidap-2.0.118 on Red Hat 7.1. 
También necesita los paquetes auth_ldap y 
nss_ldap. Usaremos como nombre de dominio 
foo. com. 

Si quiere instalar la última versión de este 
paquete, siga las instrucciones para bajarlo e 
instalarlode 
/doc/admin/quickstart.html 
Edite el archivo de configuración del server 
LDAP, que es , Como 
sigue: 


+ Schemas to use 
include/etc/op enldap/schema/core. schema 
include/etc/op enldap/schema/cosine .schema 
include/etc/ope nldap/sch ema/ inetorgperson. 
schema 
include/etd/o penldap/schema/nis.shema 
include /etd'openldap/sche ma/redhat/rfíc822- 
MailMember.schema 


inclu de/etc/o penlda p/sh ema/ red hat/autofs.s 
chema 


include/etc/ope nldap/sche ma/redhat/kerbero 
sobject.schema 


DREAMUWERVER 


en general. 

El Macromedia Dreamweaver es un 
programa en el cual es necesario tener un 
conocimiento básico o una noción de HTML y 
JavaScript. Tambien es importante conocerla 
forma de organizar y distribuir los archivos 
para poder crear un optimo mapa del sitio. 
Debemos señalar que su asimilación pueda 
resultar mas compleja en relación al MS 
Frontpage pero la capacidad del programa y 
sus resultados marcan diferencias y mas aún 
en su nueva versión MX que fusionan al 
Dreamweaver 4 y al Dreamweaver Ultradev 
permitiendo utilizar las ultimas tecnologias 
con un potente editor de código. 

Como resultado podriamos definir que el 
DW está orientado hacia los diseñadores de 
Web con un perfil mas profesional. 


database  ldbm 

suffix “dc=fo0 ,dc=com' 

rootdn “cn=Manager,dc=fo00,dc=com" 

rootpw (cryptjsadtrCrOCILzv2 

diredory  /varlliblldap 

index default eq 

index object Class, uid ,uidNumber,gid 

Number eq 

index cn, mail. surname,givenname 
eq,sub 

tíAcces Control (See openidap v.2.0 Admin 

Guide) 

accesto attr=userP assword 

by self write 

by anonymous auth 

bydn=“cn=ma nager,dc=fo00,dc=com"” 
write 

by* compare 

accesto * 

by self write 

byd="cn=manager,dc=foo,dc=com” write 

by* read 


Los schemas LDAP definen clases y atributos 
de los objetos que co mponen las entradas al 
directorio. 

Los schemas que necesitamos, listados en la 
primera sección de slapd.conf, ya han sido 
definidos durantelainstalación RPM. 

Si necesita agregar una claseo un atributo a un 
objeto, vea la Guía de Administración de 
OpenLDAP en 
www.openld ap.org/do admin20/schema.html. 


Vamos a usar el tipo de base de datos Idbm, que 
es el que viene por default, y nuestro ejemplo usa 
el componente de dominio LDAP. Entonces, 
foo.com se transforma en dc=foo,dc=com. 
Además el administrador tiene permiso de 
escriturasobretodas las entradas LDAP. 

La Guía de Referencia de Red Hat 7.3 sugiere 
usar crypt para protegerlas contraseñas. 


perl -e “printcrypt(“passwa”, “salt_string', );* 


Reemplace salt_string por un salto de 2 
Caracteres, y passwd por la password en texto 
plano. El resultado, que es la contraseña 
encriptada péguela en slapd.conf. 

Las líneas index mejoran la performance para 
atributos queseconsultan confrecuencia. 

Acces control restringeel acoeso ala entrada de 
userPassword, pero el usuario y el administrador 
pueden modificar la entrada. Para todas las 
demás entradas, el administrador tiene penmiso 
de esaritura y los demás usuarios, delectura. >S 


porIng. Alejandra García 


Usted pude encontrar el artículo completo 
en www.nexweb.com.ar donde se 
desarrollan los siguientes puntos: 
*Creando la Estructura de Directorios 
*Compartir contactos de Libreta de 
Direcciones 

*Configuración de Clientes de Correo 
*Unificandoellogueo Linux con LDAP 
*Creando entradas de usuario en la Máquina 
Local 

*Creando Entradas de Grupos 

*Configure Automount para compartir 
Directorios Home(y compartición por NFS) 
*Configurando el cliente LinuxLDAP 
*Configuración final del servidor Linux 

“Login unificado de Microsoft Windows con 
Samba yLDAP 

*Configuración de Idapsync.pl y Samba 
*Compartiendo recursos NFSconSamba 
*Mantenimiento 


E DNEXXS ON 
www.nexweb.com.ar 


EBASE DE DATOS 


Microsoft SQL Serve 


l empezar a esaribir esta nota no se me 

ocurría como titularia: “SQL 2000 vs. SQL 

7, “Mejoras en SQL 2000" “Porque 
Migrar aSQL 2000*, etc., y comoverán opte por el 
mas fácil quizás para no desmerecer la versión 
anterior que ha tenido muy buena aceptación en 
el mercado y de pasofacilitarme el dile ma. 

La gente de Redmond (MSFT) ya hace un 
tiempo, puso en el mercadola actualización de su 
producto SQL 7.0, el cual este ultimo fue un 
cambio significativo respecto de su antecesor 6.5 
en cuanto al código principal del programa (fue 
reescrito), pero veremos que su versión 2000 no 
sequeda atrás encuantoa aditamentos y mejoras 
setrata. 


Vamos con algunas de las mejoras/cambios 
princi palesincorporadasen esta versión: 


Soporte XML : 

Para aquellos que no escucharon de XML, 
eXtensible Markup Language vendría a ser una 
extensión del ya conocido HTML pero orientado a 
manejar datos, imaginen esto: pedir paginas vía 
http (oomo HTML) peroqueenlasolicitudde esas 


formatos sin requerir del servidor Web y por otro 
lado, XML, al ser estándar, es soportado portodo 
los navegadores (browsers) actuales. 


Múltiples Instancias: 

Esto nos dala posibilidad de poder tener varias 
instancias (instances) de MSSQL SERVER 2000 
corriendo (hasta 16 )y que para cada una, haya un 
juego aparte de entradas del registro, configura- 
ción, procesos, etc. en un mismo servidor, lo que 
seria como instalar varias veces MSSQL 
SERVER 2000en una misma maquina. 

Ahorase puede tenerun“servidor' porcada DB 
o cada tantas DB, lo cual pemitiría varias cosas, 
entreestas: 

Bajar un servidor/instanda SQL SERVER sin 
afectar otros servidores/instancias SQL SERVER 
paratareas de mantenimiento por ejemplo 

Poseer distinta configuración de servidor (DB 
Master) o diferentes requisitos de seguridad para 
cada servidor! instanda. 

Poseer un juego de caracteres y sort order 
(collation) predeterminado distinto para cada 
servidor/instancia, aunque en esta versión, a 


La gente de Redmond (MSFT) ya hace un tiempo, 
puso en el mercado la actualización de su producto 
SQL 7.0, el cual este ultimo fue un cambio 
significativo respecto de su antecesor 6.5 en cuanto 
al código principal del programa (fue reescrito), 
pero veremos que su versión 2000 no se queda atrás 
en cuanto a aditamentos y mejoras se trata. 


paginas vayan consultas (queries), gracias a las 
cuales el Server http vinculado a SQL SERVER 
nos devuelve resultados en otras paginas. ¿Suena 
a ASP no? pero bueno esto nose parecenen nada 
ya que difiere significatwamente en varios 
aspectos y poseen diferentes fines, de hecho ASP 
al igual que otros similares (PHP, etc.) seguirán 
existiendo. 

Perovea mos algo de lo que sepuede hacer con 
XML: 
*Acceder, manipular y actualizar documentos XML 
como si se tratara de tablas usando lenguaje 
Transact SQL 
*Hacerconsultas enla URL usando lenguaje SQL 
“Controlar la foma en la cual devuelve los 
resultados (shapes) 
*Etc. 

MS SQL 2000 puede generar XML en diferentes 


70-210 ElÁreade Psicdogía del Hospital Cognitive Inc. usa 


Ma br 


Preta == 


diferencia de la anterior, ya se soporta todo esto 
personalizadoporcadaDB. 

Todo esto lo hace propicio para bajos 
presupuestos de hardware o consolidación de 
hosteo como el delos ISP's 


Versiones: 

MS SQL SERVER 2000 fuesacado al mercado 
con versiones tan potentes como la Enterprise 
paraentornos Data Center, así vomoenversiones 
compactas para entornos portátiles como la 
versión delas handelds con Windows CE 


Escalabilida d: 

En quanto a la escalabilidad en cluster para 
balance carga cabe mendonar el soporte 
mediante un sistema de vistas particionadas que 
resulta en transacdones y consultas distribuidas 
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un Domain Controller (Server1) para guardar sus 
trabajos en una Carpeta compartida en la red de 
Windows 2000 llamada DOC. 

Dora, una Psicóloga con el rango de Administradora 
de la red por sus vastos conocimientos en 
Computación, creó una subcarpeta llamada SrK en 
la carpeta compartida DOC. Mediante el Windows 
Explorer en Computer3, ella navega en la carpeta 
SrK y se da cuenta de que uno de sus archivos, 
CasoSigmund.docfue borrado. 

Dora restaura este archivo desde una copia hecha el 
día anterior y configura los permisos NTFS para que 
sólo ella pueda acceder al mismo. 

Debido a que los archivos restantes de su carpeta 
deben quedar disponibles para toda el Área de 


-— Insumos y Partes para PC. 
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en múltiples servidores. 

Respectoa la escala bilidad en unsolomaquina, 
el soporte de sistemas de hasta 64 GB de RAM y/o 
32 procesadores 


Performance: 

Tiempos de consulta más rápidos gracias a las 
mejoras en el optimizador de consultas, soportede 
vistas indexadas, índices en columnas con 
campos calculados y soporte completo de 
multiprocesamiento simétrico (SMP) con lectura 
de tablas en paralelo. 

Ej.; Algunos clientes experimentaron mejoras 
de hasta un 300 % en sus aplicaciones. 


Confiabilidad: 

Cluster a prueba de fallos simplificado de hasta 
4 nodos, mejora en los tiempos de hacer backup 
diferenciales, Stand-by Servers mejorado gracias 
ala característica Log Ship pin g 

incorporada, creación y recreación de índices 
en paralelo (más rápido restore) así como la 
certificación de seguridad C2 otorgada por la 
Nadonal Security Agency (NSA) le confieren a 
MSSQL SERVER 2000 mejoras en esteaspecto. 


DataWare house: 

MSSQL SERVER 2000 incorpora un nuevo 
motor para el datamining. 

La habilidad de vincular cubos, que le dan un 
aspecto multidimensional a los datos, sobre 
Intemet, así como partidonar los mismos en 
diferentes servidores que a su vez le confieren 
mayor escalabilidad. 

Rollups customizados, soporte de nuevos tipos 
de dimensiones, Ej. parent-child y dimensiones 
modificables (write -en abled) 

OLAP Adions que es una característica que 
permitedisparar eventos enunaDB. 


Producti vida d del Programador Mejorada: 
Aparte de la adición del extenso entomo XML, 

MSSQL SERVER 2000 proveea los desarrollado- 

res de la actualización en cascada con integridad 


Psicología, Dora ingresa en los permisos NTFS de 
los mismos y los configura de forma tal que sólo 
tenga acceso a ellos el grupo de Psicología (lo hace 
removiendo todos los grupos menos Psicología 
desde la opción seguridad en las propiedadesdelos 
archivos), luego le da aeste grupo el permiso Read. 
Ahoraella quiere saber si alguien que no pertenece 
al grupo de Psicología procura ingresar en esa 
carpeta o si alguien intenta borrar nuevamente al 
CasoSigmund.doc. 

Examine el cuadro que muestra la distribución de las 
AreasdelHospital: 

¿Qué debería hacer Dora para determinar quien 
intenta acceder a sus archivos? (Seleccione todas 
las correctas) 


referencial para las acciones Update y Delete 
incorporada, un depurador T-SQL, Triggers del 
tipo INSTEAD OFF y AFTER y mejoras en el 
Query Analyzer que incluye plantillas (templates) 
paralacreación de scripts administrativos 


Como se puede apreciar las mejoras no son 
pocas y por ende los motivos para migrar o 
conocer estas nuevas cara dterísticas tampoco. 

Microsoft ha puesto enel mercado por mediode 
las Certified Technical Education Centers (CTEC) 
una serie de cursos que nos pemiten especiali- 
zamos en este producto. Dichos cursos sirven 
también para certificar exámenes que cuentan 
para la obtención de las certificaciones MCDBA, 
MCSE y MCSD. Aquí se detallan los más 
importantes 


+Course_2071: Querying Microsoft SQL 
Server2000 with Transact-SQL (16 horas) 


+ Course 2072: Administering a Microsoft 
SQL Server 2000 Database (40 horas) 


* Programming a Microsoft 
SQL Server 2000 Database (40 horas) 


+ Course 2074: Designing and Implementing 
OLAP Solutions Using Micros oft SQL Server 
2000(40 horas) 


La carrera Microsoft Certified Database 
Administrator MCDBA Zue consta de 4 
exá menes se puede ver detallada en este link: 
http://www. mi crosoft.com/traince rt/ mc p/ mcd 
balreZuirements .asp € 


por Germán Dóuek 
MCT/MCSE 


AJElla debería configurar alas GroupPolicy para 
activarla auditoria en Computer3 

B)Ella debería configurar alas GroupPolicy para 
activarla auditoria en la Carpeta DOC 

C)Ella debería co nfigu rar alas Group Policy para 
activarla auditoria en Server1 

D)Ella debería auditar todas las entradas 
exitosas ala carpeta DOC 

E)Ella debería auditar todas las entradas 
exitosas a la carpeta SrK 

F)Ella debería auditar todos los intentos fallidos 
de entrada ala carpeta DOC 

G)Ella debería auditar todos los intentos fallidos 
de entrada ala carpeta SrK 


Rta:C,E,G 


MEJOR ATENCION 


MEJOR PRECIO 
MEJOR SERVICIO 


'¡CONECTORES-ADAPTADORES 
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FLORIDA 537 Gal. Jardín 1” Piso- 
Local 491 - Tel/fax: 4393-1935 - 4326-9008 


TEL: 4328-0522/4824/9137 
mail: officerygo. com 


belgranoUcablespc.com.ar 
-AV. BELGRANO 1209 -: 
Tel: 4381-6395 


Las 10 Certificaciones mas buscadas para 2003 


El presente estudio fue elaborado por certcities.com  estosele agregaron otros factores: utilidad, puede hacer una diferencia en la 
(http://certcities.com/editorial/features/story.asp ?EditorialsID=55).  carrera?, Cuál brillara mas ?. AunZue el estudio fue hecho en US creemos es 
El estudio se basó en crecimiento, reputación y aceptación de laindustria. A de muchointerés para el mercado local. 
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Citrix Certified Enterprise Linux+ Cisco Certified Network Cisco Certified Internetwork 
Administrator (CCEA), Vendor: Computin g Technology Industry Professional (CCNP) Expert (CCIE) 
Microsoft Certified Database Association (CompTIA) endor: Cisco Systems Vendor: Cisco Systems 
Administrator (MCDBA) Category: Linux / Unix Category: Security Category: Networking 
Vendor: Citrix, Microsoft Reader Interest Score (out of 20): 16 Reader Interest Score (out of 20): 16 Reader Interest Score (out of 20): 18 
Category: Networking, Database Buzz Score (out of 10): 2 Buzz Score (out of 10): 6 Buzz Score (out of 10): 9 

Total: 18 Total: 22 Total: 27 


Reader Interest Score (out of 20): 9, 12 
Buzz Score (out of 10): 6, 3 
Total: 15,15 


Go WE—>————————_3 


Sun Certified System Administrator 


GSIMEO——— > AMET >) 


Check Point Certified Security Red Hat Certified Engineer (RHCE) 
Administrator (CCSA) Vendor: Red Hat 
Vendor: Check Point Category: Linux / Unix 


Las que estuvieron muy cerca... 
1-Oracle Certified Database 
Administrator (OCP DBA) 

2-Microsoft Certified Associate 


Developer (MCAD) 


for Solaris Operating Environment Category: Security Reader Interest Score (out of 20): 16 3-Linux Professional Institute, Level | 
Vendor: Sun Microsystems Reader Interest Score (out of 20): 11 Buzz Score (out of 10): 7 4-Sun Certified Web Component 
Category: Linux / Unix Buzz Score (out of 10): 8 Total: 


Developer 
5-SANS GIAC 


Reader Interest Score (out of 20): 13 
Buzz Score (out of 10): 3 
Total: 16 


Total: 19 


23 
o y 
"4711 [INIA im 


Security+ 


all] ===. Certified Information Systems Security Vendor: CompTIA E sd 53 

Professional (CISSP) Category: Security WICSD 42 D04 
Microsoft Certified Systems Vendor: International Information Systems Reader Interest Score (out of 20): 18 WCDBA 106279 
Administrator (MCSA) Security Certification Consortium (ISC 2) Buzz Score (out of 10): 7 MESA 53297 
Vendor: Microsoft , Category: Security Total: 25 MCAD 2.746 
Category: Windows Networking Reader Interest Score (out of 20): 14 MET 10.732 


Reader Interest Score (outof 20): 10 
Buzz Score (out of 10): 7 
Total: 17 


Buzz Score (out of 10): 7 
Total: 21 


N* de Certificaciones 1233.024 
Dtos Marzo de 2002 


Certificaciones MICP 


EVENTOS 
CONFERENCIAS TÉCNICAS MICROSOFT 2003 


Preguntas Microsoít 


lalarmidr 


Pregunta 70-218 


Usted esta configurando un laboratorio para 
testear un ambiente de Windows 2000. Usted 
instala una PC cliente y un servidor, luego usted 
promueve el servidor a Domain Controller para 
el único dominio que existe en su red 
corporativa. La configuración de red es 
presentadaen el siguiente cuadro deladerecha: 
Cuando usted intenta unir a la PC cliente al 
dominio, se recibe un mensaje de que no se 
encuentra el dominio. Usted revisa la 
configuración TCP/IP en la PC cliente y muestra 


unirse al dominio. 


ACTUALIZATE. FUTURIZATE. 


Nuevas técnicas en el desarrollo de aplicaciones 
Web con ASP.NET. Tips 8 Tricks 

MSDN Conferencia Tecnica 22 de Mayo de 2003, ASP.NET, 10:00 
a 13:00hs 
Bouchard 710, 4 Piso, Capital Federal 
Descripdón: Migrando a ASP.NET - Tips y Trucos en ASP.NET, 
Orador. Daniel Laco, MVP - Carlos Walzer, MVP, Nivel: Intermedio, 
Audiencia: Desarrollador 


Usted debe oorregir el problema que le impide a la PC diente 


MSDN Conferencia Tecnica 19 de Junio de 2003, Threads en .NET 


lasiguiente configuración: 


boss 
mea ida o (air: 10500 
A A de A UN 
DA 

Mar Tere ame 

Midata al dd 

mom 
ES 


Ha rey 


de ml rm dr 
o cr 


Hr 00 1 


¿Cuál de las siguientes opciones debería realizar usted: 


A- EspecifiZue el default gateway con el IP 172.16.15.1 
B- EspecifiZue el default gateway con el IP 172.16.10.1 
C-Cambie la dirección IP del servidor DNS por la dirección IP 
del Domain Control ler 
ca ESpeolfizuo la dirección del DC como DNS alternativo 

a 


70-214 Nuevo examen de Seguridad Microsoft 


Desde Comienzos del 2003 está operativo un nuevo examen de 
Microsoft que apunta a la seguridad en redes: 

“70-214 Implementando y Administrando Seguridad en una red 
Microsoft de Windows 2000*. 

Éste examen puede incluirse como “elective* en la currícula de 
MCSA (Microsoft Certified System Administrator) y MCSE (MS 
Systems Engineer). 

Para vermás detallesde losexpuestos enéste artículo: 


Todas)lasIcentificaciones)Internacionales 


A traves de 


NNE. 


AUTHORISED TESTING CE 


+ Elementos de Remoting en .NET, 10:00 a 13:00 hs, Bouchard 710, 
4 Piso, Capital Federal, Descripcion: Threads en . NET. Cómo 
desarrollar aplicadones distribuidas con .NET Remoting, Orador: 
Angel López, MVP - Julio Novomisky, MVP, Nivel: Intermedio, 
Audiencia: Desarrollador 


MSDN Conferencia Tecnica 26 de Junio de 2003, Conceptos de 
Arquitectura para el diseño de Aplicaciones distribuidas, 10:00 hs a 
13:00 hs 

Bouchard 710, 4 Piso, Capital Federal 

Descripdon: Consideraciones de diseño/arquitectura de aplicaciones 
para desarrolladores o responsables de equipos de desarrollo 
Orador. Adrian Lasso, MVP 

Audiencia: desarrollador, arquitectos de aplicaciones, responsable de 
equipos de desarrollo 

Por favor regístrese en: 

http: Iwww.microsoft.com/argentina/conferencias_tecnicas. Todos estos 
eventos son gratuitos, las vacantes son limitadas. Para registrarse visite 
nuestros sites de: TechNet MSDN O por e-maila eventosOmicrosoft.com.ar 


Suscríbase para recibir NEX en su 
domicilio o en su empresa a través de 
nuestra Página web: www.nexweb.com.ar 


PERIODICO DE NETWORKING 


Ptibudén Gavia 
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DE rn bars . nmnta LY res | ag? p 
espuestas a sus preguntas, explore los recursos 
yy” ia e nA>Arars Wirrre + f nia usado 
rese más sobre cómo Microsoft lo puede ayudar 


reparación de una carrera profesional 
> Microsoft Certified Professional [(MCP) 
+ Microsoft Certificd Database Administrator (MCDBA) 
+ Microsoft Certified Protessional + Internet (MCP+1) 
+ Microsoft Certified Solution Developer (MCSD) 
> Microsoft Certified Professional + Site Building (MCP+SB) 
> Microsoft Certified Systems Administrator (MOSA) 
> Microsoft Certified Systems Engineer (MCSE) 
> Microsoft Certificd Systems Engincer - Internct ¡(MCSE+I) 
> Microsol! Certified Trainer (MCT) 
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